DOCPROPERTY"Product&ProjectName"DOCPROPERTYDocumentNameCloudCampus大中型園區網絡設計指南（虛擬化場景）STYLEREF"1"\n2STYLEREF"1"安裝過程校園網絡升級改造解決方案V3.0文檔版本DOCPROPERTYDocumentVersion04(DOCPROPERTYReleaseDate2021-09-15)DOCPROPERTYProprietaryDeclaration版權所有?華為技術有限公司5PAGE130校園網絡升級改造解決方案目錄1概述 41.1高教網絡建設背景 41.2高校園區網絡挑戰 42高校各場景的建設需求 92.1基礎承載網場景 92.1.1教學場景 92.1.2辦公場景 102.1.3宿舍場景 102.2校園網安全場景 102.2.1終端安全 102.2.2內網安全 112.3校園網運維場景 112.3.1即插即用，極速上線 112.3.2故障監測預警，智能運維 122.3.3策略隨行一致體驗 122.3.4運維管理的需求 132.4校園網運營場景 132.4.1精細化運營 133極簡以太全光方案 143.1方案簡介 143.1.1方案拓撲結構 143.1.2以太全光網架構特點 153.1.3方案組件 153.1.4主要建設性能指標 174極簡光綜合布線設計 194.1綜合布線概要一覽表 194.2水平子系統（房間至樓層弱電間）設計 194.3樓層弱電間設計 204.4垂直子系統（樓層弱電間至樓宇匯聚機房）設計 204.5樓宇匯聚機房設計說明 214.6多媒體箱安裝規范 224.7房間內布線示意 234.7.1中低密度房間 244.7.2大廳場景 255高校各場景的網絡設計 255.1基礎承載網場景設計 255.1.1教學場景 255.1.2辦公場景 275.1.3宿舍場景 285.2校園安全場景設計 285.2.1終端安全建設目標 285.2.2信息安全建設目標 335.2.3出口安全建設目標 425.3校園運維場景設計 435.3.1零配置，減少日常維護復雜度 435.3.2簡化Vlan配置部署 435.3.3入室交換機零配置入網和光鏈路檢測 435.3.4網隨人動策略隨行 445.3.5智慧運維管理平臺 455.3.6多運營商有線無線統一認證計費運營設計 505.3.7校內校外認證融合運營設計 505.3.8學校精細化管理設計 525.4方案價值 535.4.1滿足學校管理訴求，打消壟斷顧慮 535.4.2提升用戶體驗 535.4.3運營商快速拓新 546方案選型建議 627.1產品選型建議 627.1.1設備選型 62概述高教網絡建設背景教育部印發的《教育信息化十年發展規劃（2011－2020年）》中強調信息化對于提高教育質量、構建人力資源強國具有重大意義。以教育信息化帶動教育現代化，是我國教育事業發展的戰略選擇。教育部印發的《教育信息化“十三五”規劃》中也強調“十三五”期間，堅持“四個全面”戰略布局，牢固樹立和貫徹落實創新、協調、綠色、開放、共享的發展理念，以“構建網絡化、數字化、個性化、終身化的教育體系，建設‘人人皆學、處處能學、時時可學’的學習型社會，培養大批創新人才”為發展方向，按照“服務全局、融合創新、深化應用、完善機制”的原則，穩步推進教育信息化各項工作，更好地服務立德樹人，更好地支撐教育改革和發展，更好地推動教育思想和理念的轉變，更好地服務師生信息素養的提升，更好地促進學生的全面發展，推動形成基于信息技術的新型教育教學模式與教育服務供給方式，提升教育治理體系和治理能力現代化水平，形成與教育現代化發展目標相適應的教育信息化體系，充分發揮教育信息化對教育現代化的支持和引領作用。學校智慧校園建設是實現學校教育現代化的抓手和基礎核心工作。高校園區網絡挑戰傳統校園網方案設計無論是從管理、維護還是整合，均采用的是分布或分散式的模式，即管理層級過多、維護力量分散、功能和策略部署在接入層、資源整合采用多方溝通和協調。這種模式不但在現階段讓網絡中心難以提升服務質量、提高服務響應率，而且會降低用戶體驗度，同時也無法應對無線校園乃至物聯網浪潮所帶來的挑戰。在高教行業中，隨著教學數字化的繼續發展，原先采用的三層物理架構組網模型存在擴展性差、帶寬升級麻煩、終端部署困難、弱電間安全隱患凸顯等一系列問題，具體如下：施工部署的問題隨著業務增加，信息點位增多，業務無法靈活擴展，每增加一個業務/終端就需要從弱電井重新布線，導致橋架空間壓力大。業務改造都要從橋架中理線麻煩成本高，廢棄直接部署新網線導致橋架網線越來越多，不美觀，橋架空間壓力大。每次網絡改造或上新業務都要全網改造，同時施工經常會弄斷其他業務網線，影響正常業務開展。端口擴展問題多媒體教室從最初的有線網部署開始，隨著教學改革，業務逐漸發展演進，從有線網->標準化考場專網->無線網->物聯網，這造成每次業務的發展都需要上線一批終端，拉數根網線進教室；可以預見的是：未來進入教室的終端只會越來越多，需要擴展的接入點端口和網線數量會成為每次業務發展的阻礙。帶寬升級問題隨著大帶寬業務需求（如錄播、WIFI6等）出現，校園網絡需要頻繁升級。無線業務驅動高教校園網升級，校園無線每升級一次，就需要對現網的線路改造替換一次。傳統以太網部署使用的是網線，網線分四類型、五類線、超五類線、六類線等不同類型，每次網絡升級都需要更換整個網絡線路，同樣存在網絡升級成本高的問題。終端準入問題隨著信息化的不斷深入，數字化終端接入網絡的要求越來越多。現在教室普遍存在多網絡，每張網絡具有多個終端。傳統以太網部署是將接入交換機放在弱電間，再鋪設網線到教室終端。每個教室終端需要鋪設一根網線，日益增多的教室終端導致需要海量的網線數量。回到了問題1描述的場景。弱電間安全問題弱電間堆放大量有源通信設備，存在消防安全隱患。傳統的以太網部署需要將接入設備放置于弱電間，從而增加安全隱患。另外，受限于弱電間選址問題，弱電間環境普遍較差，輕則產生電磁干擾，重則影響網絡設備使用壽命。網絡安全問題為了保證校園網絡安全，學校都會部署很多的安全設備，傳統的安全設備只能阻斷南北向的數據流量的安全問題，但是在內網出現安全問題后，很難校園網內部的攻擊、病毒的傳播，學校依然會收到安全協查通報，攻擊/病毒等很難難阻斷。校園網運營難問題校園網需要運營商/投資方聯合運營，但是不少學校采用的運營商提供的運營模式與本學校的實際情況差距較大。學校不是運營商，運營經驗不足，出現問題后設備的維護邊界不清，導致相互推諉扯皮等問題。如何保障學校運營的順利展開，采用什么樣的計費策略、收費繳費流程、采用怎樣的模式劃定設備維護邊界進行管理都是學校急需解決的問題。出口靈活擴容問題學校擴招、學生上網需求增加，新應用及技術驅動，帶來帶寬需求增加。同時隨著有線無線同時運行，電腦、手機、pad等終端使用帶來出口設備認證并發需求增加。師生上網使用需求增加導致出口設備壓力增大，設備故障風險直接影響全校網絡運行，所以需要更加穩定的出口方案，同時滿足未來隨著業務發展可以靈活的擴容。高校各場景的建設需求基礎承載網場景教學場景隨著普通教室向標準化考場、多媒體教室進行改造，學校在業務迭代的過程中促進教室信息點持續增加，從傳統的一個教室2-4個信息點（多媒體電腦、無線、視頻監控）到現在新增云桌面、數字廣播、大屏/黑板、電子班牌、物聯網等6-12個信息點，教室的教學網絡環境需要持續改造升級，要支持業務靈活擴展。同時越來越多的新建智慧教室、VR/AR教室、實訓樓/實訓室等新型教學環境，教學類業務對帶寬和延遲需要越來越高：3D/VR/AR教室訪問數據中心/云端資源需要無線提供高并發和大流量（WIFI6）的支撐——VR教學的終端，單終端50~300Mbps，時延要低于8ms。無線平板教學，單個終端需要30~50Mbps的帶寬，延遲要小于20ms；云機房/PC機房東西向、南北向并發流量大，對帶寬和網絡穩定性要求高——進行鏡像下發時，每個終端需要至少30Mbps帶寬。60個設備同時訪問SPOC、MOOC資源、PXE克隆、教學廣播需要內部二層轉發。主要教學應用對帶寬的要求如下：辦公場景行政人員辦公經常面臨工位頻繁更換，信息點位不固定，甚至是大范圍挪移，出現端口不夠用的情況就只能使用傻瓜交換機級聯拓展，存在發生環路引發網絡運行不穩定的風險；而管理人員的辦公室通常部署在每個樓層的末端，這種VIP辦公室距離弱電間超過100m，就會造成拉線困難，同時VIP辦公室要求施工簡單，盡可能縮短工期，室內設備美觀。辦公網設備線路難以頻繁改造，布線施工成難題。在辦公室里除了需要滿足高帶寬要求外，還需要重點考慮數據的共享，老師會使用網上鄰居進行數據共享，跨房間之間的打印機共享等業務，所以在辦公網的設計規劃中需要靈活劃分業務隔離與共享。宿舍場景宿舍區域人數多、空間小、終端種類多、并發終端數量大，干擾較為嚴重。隨著學生對上網網絡質量和上網流量的需求越來越大，需要滿足無線信號的全覆蓋，同時提供優質的上網體驗。校園網安全場景終端安全電腦、筆記本、手機等師生辦公學習終端，打印機、刷卡器、監控等啞終端，電子班牌、智慧大屏、數字圖書館等公共上網終端，校園的各類型的業務終端井噴式增長。傳統網絡環境下一臺IOT終端上線要經歷IP申請、信息分配記錄、找位置找端口、劃分業務VLAN、配置訪問策略、信息上線記錄，到最后的上線聯調，過程冗長終端上線效率低。同時，傳統網絡環境下對IOT終端的安全管控仍需要手動搜集MAC地址，再進行基于端口和MAC的綁定。或者將啞終端設置為免認證終端直接放通，這樣就會存在用戶私接入網以及不合法終端也能直接入網，存在被攻擊、數據泄露的風險。傳統校園網運維和安全存在著極大的麻煩和風險。校園物聯網需要一個支持終端快速上線、安全隔離，人、物公用的易維護的好網絡。內網安全當前網絡與信息安全領域，正面臨著全新的挑戰。一方面，伴隨大數據和云計算時代的到來，安全問題正在變成一個大數據問題，高校校園網絡及信息系統每天都在產生大量的安全數據，并且產生的速度越來越快。另一方面，校園面對的網絡空間安全形勢嚴峻，需要應對的攻擊和威脅變得日益復雜，這些威脅具有隱蔽性強、潛伏期長、持續性強的特點。傳統系統信息安全保障能力面臨以下四個方面的問題：（1）不能及時識別信息安全事件當前，信息系統結構復雜，網絡、安全設備較多，產生安全事件數量巨大，根據調查，至少95%以上的安全事件屬于誤報，真正存在的少量安全事件在海量的、不同結構的安全告警信息中難以有效識別發現。（2）威脅識別能力有限安全分析以人工方式為主，只能識別已知并且已描述的攻擊，難以識別復雜的攻擊，無法識別未知的攻擊；安全事件之間存在橫向和縱向方面（如不同空間來源、時間序列等）的關系未能得到綜合分析，因此漏報嚴重，不能實時預測。一個攻擊活動之后常常接著另外一個攻擊活動，前一個攻擊活動為后者提供基本條件；一個攻擊活動在多個安全設備上產生了安全事件；多個不同來源的安全事件其實是一種協作攻擊，這些都缺乏有效的綜合分析；（3）安全預判能力有限，缺乏對抗能力安全運營以被動應急響應為主，難以對風險進行提前的評估與研判，總是疲于救火；為了切實加強信息系統安全保障能力，可以規劃采用大數據技術來建設信息系統綜合運維監控管理平臺，實現大數據安全管理和數據中心信息安全違規檢測。校園網運維場景即插即用，極速上線在用戶的設備上線和替換過程中當前遇到三個問題：問題一：設備替換對人是有要求的，無法說任意的人均能換設備，問題二：能替換的人少，因受限制于校園網面積大等問題，替換效率低下。問題三：學生也比較強勢，如果斷網時間長會投訴。針對上面的三個問題，自動化運維已經解決了其中的一部分問題了，但這個過程中有幾個地方經常出錯1.接入模板不統一，不固定，渠道按自己理解的來制作，不是最佳實施方案，容易出現部署過程設備配置模板錯誤導致部署斷網。2.耗時長，容易出錯，特別是每臺設備的vlan，ip要修改。集成商人工刷配置，每個人的技術，素質都不固定，很容易出現工作馬虎，配錯，漏配的情況。3.上架的時候可能拿錯設備，接錯口；另外傳統網絡在運維期間，由于各個接入設備的模板都不一樣，在業務新入網時候需要更改接入設備的配置，對網絡管理人員的運維能力還是有要求，特別是替換的時候，配置不同容易導致更換設備的時候配置錯誤引起斷網。故障監測預警，智能運維多網融合，設備激增，專業人手不足，高校運維團隊常年保持人數不變，運維成本逐年增加。傳統網絡故障定位過程繁瑣，且無法提前感知風險。并且在當今世界，萬物都通過網絡實現互聯。從園區或分支機構場所的用戶和設備到數據中心或云中的應用，網絡擁有巨大潛力，可以不斷優化調整，保護所有IT與業務流程，并提供洞察力。唯有借助基于意圖的網絡。這種網絡能夠捕捉業務意圖，并在整個網絡范圍實施策略和網絡狀態感知，進行數據預測并建立流量模型，主動服務于網絡運維工作。同樣高校的網絡建設也應該符合意圖網絡發展趨勢。策略隨行一致體驗傳統網絡狀態下，用戶移動，IP地址發生變化，當審計的時候，由于用戶的IP地址不停變化，需要結合不同時間段內用戶的IP地址情況綜合去查，查詢雖然可以實現，但是比較麻煩，達不到所見即所得的狀態。近幾年基于網絡的業務爆炸式地增長，同時迎來無線網絡的建設的浪潮，終端位置的移動接入成為常態，業務的靈活部署以及遷移成為剛需。以往的基于網絡位置進行網絡規劃的方式無法滿足現有復雜的業務場景。網絡上承載的業務越來越多，后期會將視頻監控、一卡通、數字廣播、車輛出入系統等等納入到整個網絡的管理范圍之內，當前的網絡規劃時按照一網一業務的策略去做，分別建設割裂的網絡，無法統一管理和運維。由于無法實現網絡端到端的統一策略部署，使得新的業務開展和優化比較困難。運維管理的需求在傳統的網絡建設之后，運維管理很容易被大家所忽視，這樣就造成了信息部門對IT物理環境及其中所有設備的運行狀況沒有統一、規范的管理，無法及時清楚的掌握IT系統運行狀況和設備運行狀態，無法做到對IT系統狀況的統計和分析，不能及時發現潛在問題對業務系統的影響，維護工作基本上處于被動的救火隊狀態，不利于知識共享和知識積累。鑒于網絡系統和業務系統的正常運行對學校業務的重要意義，信息化建設同時要立足于工具層面的保障和管理手段進行統一的監控和管理。從而改變現有的運維模式，結束被動救火的運維策略，從而對網絡和系統故障提前預知、提前防范，在故障出現時第一時間快速反映、迅速定位，借助技術工具和不斷提高運維人員自身的技術能力這兩個方面相結合更好地保障網絡環境和業務系統安全、穩定運行。校園網運營場景精細化運營隨著信息化的發展，基于學生大數據分析、自主可控安全管理的需要，傳統運營商承建網絡的方式已無法滿足，更多學校希望按照自己的校園網建設標準建設內部網絡方便統一管理和數據共享，但自己購買出口大帶寬的方式又面臨著每年巨大的資金投入，面對龐大的資金缺口，以及政策不允許運營商在學校壟斷的要求下，更多的學校開始采用開放合作的方式，多方運營商通過合作與競爭提供更大的帶寬和更靈活的資費供學生自由選擇。學校：公平引入多家運營商；保留學校對學生的管理權，實現大數據分析、資源共享；學生：自主選擇出口和套餐良好的入網和用網體驗，高效的服務；運營商：發展更多校園網用戶，保障收益通過帶寬換取更多學校資源；極簡以太全光方案方案簡介以太（以太協議）全光（全光纖網絡），即以光纖做為傳播介質，通過光纖入室的部署方式，結合以太網的架構、組網，所構成的網絡。其特殊點是，將有源接入交換機從樓層弱電井釋放出來，通過光纖入室將全光接入交換機部署在每個房間里，房間的全光接入交換機與核心或者匯聚交換機全鏈路光纖部署，房間內的新增信息點位可以從房間光交換機就近接入，提升擴展效率，同時做到真正的1：1萬兆/千兆入室。以太全光校園解決方案可以覆蓋校園網絡的接入層、匯聚/核心層和管理層。方案拓撲結構以太全光網架構特點極簡太全光網絡方案采用大二層結構，是新增了SDN控制器/以太全光服務器，服務器部署在核心機房。全光網絡與傳統以太網絡的主要區別有三點：1、核心到接入層設備采用全光鏈路互聯2、接入層設備從弱電間遷移到室內房間進行部署3、管理運維便捷性大幅提升，管理運維只需要管理兩端（核心機房和末端房間），樓層弱電間采用無源透明匯聚設備，實現樓棟弱電間的免運維。方案組件以太全光網絡方案需要部署設備如下：出口RSR77-X，核心N18K，SDN控制器，radius(SAM)，portal（eportal），核心側彩光交換機，樓棟無源透明匯聚，RIIL等。出口配置：出口采用兩臺RSR77-X出口路由器，通過HA的方式保障設備冗余，同時通過BRAC方案無需運營商開放對接AAA系統(認證計費授權系統)，即可實現融合認證，智慧運營管理。核心設備配置：核心：部署在中心機房，核心（可以是VSU）可以采取整網三層架構/大二層/扁平化部署（本文采用扁平化架構進行描述），有線無線用戶網關統一在核心設備上，配置成網關模式，核心設備進行集中認證（包括1x認證WEB認證，MAB認證）。DHCP服務器開在N18K上，有線和無線的IP地址獲取都從N18K獲取。核心匯聚設備：部署在中心機房，核心匯聚設備采用新型彩光交換機，可以依據入室房間數盒式彩光交換機或者核心交換機上插彩光交換板卡的方式，新型彩光交換機支持VSU組網方案，每個超聚合端口可以接入8個房間。SDN控制器/INC組件：INC組件作為組件形式部署在SDN控制器上，可以認為極光組件為SDN控制器的一個業務模塊，用于管理零配置上線設備并下發配置模板。控制器可以配置業務網和業務子網，業務子網屬于業務網。業務網可以是普通vlan也可以是supervlan（關聯多個subvlan，泛接入的終端必須在同一個supervlan下），業務網可以創建多個業務子網。匯聚設備配置：樓棟匯聚設備：采用無源透明匯聚設備部署在大樓的光纖匯聚節點（無源設備無需取電，也可以基于實際部署環境任意部署），透明匯聚設備支持雙鏈路上行到中心機房的彩光交換機上，實現鏈路的冗余設計。接入交換機配置：室內全光交換機部署在房間內，通過光纖互聯到全光匯聚交換機，室內全光設備空配置接入網絡后，通過DHCP獲取到設備的零配置管理IP地址，并發起cwmp零配置上線請求，SDN控制器/極光組件服務器通過配置模板給室內全光設備下發配置。AP配置：可以配置成分布式(推薦部署)，也可以配置成集中式或者本地轉發。AP的管理VLAN在supervlan外。AC配置：集中管理AP的配置。RADIUS和PORTAL服務器：SAM作為RADIUS服務器，ePortal做為PORTAL服務器。RADIUS服務器除了傳統的認證功能外還需要將用戶的分組信息同步給N18K。RIIL一體化運維：通過RIIL實現全域資源監控和智能化運維。主要建設性能指標出口層建設要求穩定性要求出口區域部署兩臺RSR77-X部署HA模式，確保出歐設備足夠的性能和設備穩定性，單點故障切換及恢復用戶無感知，后續增加板卡即可提高系統性能和容量，保護投資設備性能指標認證：（所有認證業務包括WEB認證、MAC認證、PPPOE認證、BRAC認證）：SIP5-X單卡，1W用戶（終端）整機性能：RSR77-X最多支持8張SIP5-X的線卡，在分別4張接口卡和4張業務卡的情況下可以支持160G的帶寬和4萬在線用戶數；核心層建設要求在核心/匯聚層，提供超寬匯聚、核心100G端口轉發能力，支持有線無線的融合。在控制管理區，包含控制、分析、安全等組件，通過管控平臺可實現光鏈路狀態檢測、全網統一運維、多網/多設備統一納管等。匯聚層的建設要求在每個樓棟設置1-2臺彩光交換機匯聚（盒式或框式，2臺可集群部署增強系統可靠性），從學校中心機房核心交換機到核心匯聚彩光交換機采用100G（向下兼容40G光纖鏈路互聯，也可以根據實際需要規劃25G/10G光纖鏈路互聯）光纖鏈路互聯。入室設備建設要求在多媒體教室&實訓室&公共機房&辦公室/中大型會議室按需部署1臺或多臺千兆/萬兆上行的多口以太光交換機（4口/8口/16口/24口/48口可靈活選擇），多口以太光交換機與樓棟以太全光匯聚采用千兆/萬兆以太光纖互聯互通（端口獨享，上下行帶寬對稱）。多口以太光交換機支持通過下行千兆以太網電口連接房間內的有線設備，通過自身的1G/2.5G/5GPOE或POE+連接需要受電的WIFI6F放裝AP/WIFI6F高密AP/POE攝像頭實現有線無線一體化與多業務子網終端融合接入部署。在領導辦公室&多人多終端辦公室/小型會議室部署帶光口（光口支持彩光模塊）上行WIFi6面板AP（本地獨立供電）與樓棟透明匯聚設備互聯互通，實現有線無線一體化無線覆蓋部署。在規則型集中辦公區/學生宿舍/教師單身公寓/學校下轄招待所/酒店等環境，部署支持普通光模塊的光面板AP（自帶1/4/8個千兆下行電口和2.5G上行光口）與全光的星空主機互聯互通，光面板AP支持通過本地獨立供電或光電混合纜集中供電，全光恒星主機通過自帶的上行萬兆接口通過全光主樓棟以太全光匯聚下行光口互聯互通，實現有線無線一體化無線覆蓋部署。運維環境設備要求業務及設備管理：通過軟件定義網絡的（SDN）控制器進行對前端多口以太全光交換機進行入網管理；通過軟件定義網絡的（SDN）控制器進行對前端入網的啞終端進行智能精準入網管控；通過軟件定義網絡的（SDN）控制器和校園集中承載網關配合進行多業務子網融合承載與互訪可視化控制與管理。業務監控運維：通過樂享IT運維產品實現對園區網絡實現全域資源監控，從機房動環、網絡、服務器到應用服務的全域資源監控。對業務系統的監控可以實現，對高校業務發生故障后可以快速定位故障是網絡的問題還是應用的問題，實現故障的定界和定位。系統也集成了網絡配置備份、自動化任務等運維工具，用于提升運維效率。同時運營管理構建了面向師生用戶的服務流程，為師生用戶提供IT故障報修和IT資源申請服務，為管理者提供服務管理數據；極簡光綜合布線設計綜合布線概要一覽表序號系統說明設備/線路要點1中心機房N/A核心交換機和傳統架構一致2園區主干光纜中心機房—樓宇匯聚機房的線路主干光纖和傳統架構一致3樓宇匯聚機房部署匯聚交換機和光配架透明匯聚設備透明匯聚設備光口數量=樓宇房間數量=光纖芯數。上聯的合路口支持雙鏈路上行到中心機房連接彩光交換機。4樓宇垂直子系統樓宇匯聚機房—樓層弱電間的布線大對數單模光纜大對數單模光纜到每個樓層弱電間5樓層弱電間樓層弱電間無需部署有源設備。如果空間局促，也可以采用壁掛機柜等方式來部署ODF架。大對數單模光纜—光配架—皮纖通過光配架，將大對數單模光纜跳轉為皮線光纖通向各房間。6樓宇水平子系統樓層弱電間—房間的布線皮線光纖選擇雙芯皮線光纖即可，匹配彩光模塊。考慮到冗余和備份，實際工程中建議做適當預留。（光混纜場景部署光電混合纜到房間）7房間弱電接入點皮線光纖布放到房間內，可以選擇在多媒體箱落地（大房間），或者86暗盒落地（小房間）多媒體箱安裝小型化交換機或86暗盒安裝光口面板AP如果采用多媒體箱，需要增加多媒體箱到信息點的布線（網線）；如果房間內僅2-3個信息點且集中在一起，則無需額外布線，直接從光口面板AP的有線口接網線到電腦網口即可水平子系統（房間至樓層弱電間）設計水平子系統部署皮纖，皮線光纜內光纖采用G.657小彎曲半徑光纖，執行標準：YD/T1997-2009接入網用碟形引入光纜。樓層所有設計光纖入室的房間均需敷設皮線光纜至樓層弱電間。皮纖建議采用2芯或4芯，實際連接入室交換機設備，其中彩光模塊需要兩芯。樓層弱電間一側皮纖端接頭宜采用LC或SC，與ODF光配架匹配。入室多媒體箱一側皮纖端接頭采用LC，與入室小型化交換機光模塊匹配。皮線光纜敷設長度可以遠大于90米，但水平布線（皮纖）+垂直布線（主干光纜）總長度不得超過2.5公里。水平橋架部分的規格可以根據皮纖布放數量做適當調整，轉彎半徑不宜過小。皮線光纜敷設具體設計施工標準可參考GB50311-2016綜合布線規范。布線示意圖如圖所示：水平子系統設計示意圖樓層弱電間設計樓層弱電間僅需部署ODF光配架即可。ODF光配架可以放置于標準落地機柜內，如空間緊張，也可以采用壁掛式機柜或壁掛設備箱安裝。ODF光配架為無源設備，無需考慮通風、散熱、供電等設計。為保障可靠性，ODF光配架兩端的尾纖應當采用熱熔。應確保所有入室皮纖至少有兩芯和主干光纜熔接連通。垂直子系統（樓層弱電間至樓宇匯聚機房）設計各樓層弱電間至樓宇匯聚機房的垂直子系統采用大對數單模光纜。光纜光纖芯數應當大于該樓層皮纖數量，確保所有皮纖光路均能順利上行到匯聚機房。（如樓層房間數量15，則采用24芯光纜，如樓層房間數量37，則采用48芯光纜；如樓層房間數量85，則采用96芯光纜，以此類推）垂直子系統設計說明如圖所示：垂直子系統說明樓宇匯聚機房設計說明架構部署設計：采用透明匯聚方案時，樓棟內可采用1-2個機柜集中放置透明匯聚設備，采用單模光纖跳線互聯透明匯聚設備，采用雙上聯冗余設計要考慮樓棟骨干光纜的芯數冗余數量。整體部署方案如圖所示：多媒體箱安裝規范多媒體箱外觀圖光纖入室多媒體信息箱設計和安裝關鍵點：光纖入室多媒體信息箱分塑料外殼和金屬外殼二種，有暗裝式和明裝兩大類，其殼體務必完整無缺。對于新建項目，建議采用暗裝。光纖入室多媒體信息箱需具備表面散熱孔以利于設備散熱。考慮到入室線纜的位置和管理上的方便，光纖入室多媒體信息箱一般安裝在房間入口或套間門廳等處。按照施工規范，箱體底部離地面高應為30cm~50cm。光纖入室多媒體信息箱內應配套220v市電接口用于設備供電。多媒體箱安裝示意圖多媒體箱安裝示意圖房間內布線示意室內網絡布線可參考GB50311-2016綜合布線系統工程設計規范中的相關章節。區別是本方案室內雙絞線的匯集點為室內多媒體箱而非樓層弱電間。高密度房間下圖為室內綜合布線示意圖，該方案適合室內信息點數大于4個的房間。室內綜合布線示意圖中低密度房間對于點位數較少（≤4個）且功能相同，布局臨近的房間，如診室，普通病房，連續的獨立小辦公室等，可以采用一套多媒體信息箱實現光纖入室部署以降低建設和維護成本。如圖所示。對于套間結構的房間，該方法同樣適用。（具體走線可以參考住宅的布線方案）室內綜合布線示意圖大廳場景針對公共大廳自助機接入等場景，由于無法確定最終自助機的數量和具體擺放位置，故對大廳內各具備擺放條件的連續墻面，應設計預留光纖面板插座和足量的電源插座。以供日后自助機安裝部署使用。高校各場景的網絡設計基礎承載網場景設計教學場景樓棟部署示意圖教室內部署示意圖部署方式：每棟教學樓部署多臺無源的透明匯聚設備，上行雙冗余光纖鏈路到中心機房的核心匯聚彩光交換機上，下行通過萬兆光纖到所有房間，教室/實訓室內部署1-2臺極簡多速率交換機作為室內交換機，連接所有IP終端，可以實現全校一張全光網，校園多業務泛載永無憂。1：1以太全光進教室，網絡靈活擴展一勞永逸，教室獨享光纖性能。方案價值：光纖入室，不占橋架空間，業務就近接入，靈活擴展；百G到樓、萬兆入室，1次部署，10年無憂，滿足多媒體教室、智慧教室、VR/AR教室、云實訓室等所有類型教室對于帶寬的要求；提供8/16/24等不同端口形態的靜音交換機，且支持2.5GPOE端口，連接WIFI6設備充分發揮WIFI6性能；支持SDN管理，設備即插即用，極大減輕運維工作量；采用成熟以太網協議，天然支持二層廣播和組播流量，廣播示教等業務更流暢；云機房、PC機房，鏡像下發，PXE克隆等高流量業務無帶寬瓶頸，更好支撐教學。無源匯聚設備的安裝，解決弱電間的管理維護等問題，同時實現核心到接入間的點到點透傳，帶寬無損，無分光。辦公場景部署方式：網絡結構：每棟辦公樓部署多臺全光樓棟無源透明匯聚設備，通過光纖到所有辦公室；大辦公室：部署1臺極簡多速率交換機連接所有IP終端，大型辦公室桌面可以部署業界首款自帶理線架的辦公桌面交換機進行擴展。VIP辦公室：部署1臺有線無線一體化的墻面AP，光AP采用彩光模塊；方案價值：光纖直達辦公室多速率交換機，接入終端可以彈性擴展，避免私接亂拉；提供4/8/16/24等不同端口形態的靜音交換機，且支持2.5GPOE端口，連接WIFI6設備充分發揮WIFI6性能；支持SDN管理，設備即插即用，極大減輕運維工作量；VIP辦公室部署墻面AP，美觀、施工簡單，有線無線一體化，體驗有保障；采用成熟以太網協議，打印機/文件共享等業務二層共享無障礙無源匯聚設備的安裝，解決弱電間的管理維護等問題，同時實現核心到接入間的點到點透傳，帶寬無損，無分光。宿舍場景無線星空方案無線星空方案的部署方式：每棟宿舍樓集中部署多臺無線恒星主機，承載120-300間宿舍無線，通過光電混合纜到所有宿舍光AP，光AP連接所有IP終端；方案價值：恒星主機管理所有光AP，做統一配置和優化，無線干擾小，體驗優；恒星主機光電混合直通光AP，中間無需任何有源設備和機箱，AP升級直接替換即可，方便擴展；光AP自帶1/4/8個有線網口，根據宿舍區域人數或有線端口需求隨需擴展；天然以太協議族，使用POE協議和AP協商供電，獨立對AP進行上下電管理企業級AP，認證、網優、漫游體驗佳校園安全場景設計終端安全建設目標面向物聯網絡設計多業務承載校園網建設分為有線部分建設，無線部分建設，包括物聯承載網建設，極簡以太全光解決方案采用了物理網絡虛擬化的設計，學校可選擇統一新建一張多業務承載網，在這一張網上承載N種多業務，對于無法改造的老校區也可選擇接入、匯聚繼續利舊現有校園網及鏈路，在核心層建立獨立的物聯網承載網關，這樣既能保證快速業務開通，也能減少物聯網投入，同時能保證物聯網業務的相對獨立，和安全隔離；建設可根據資金預算分為多期或一步到位；例如第一期建設校園網基礎網絡核心平臺、物聯網核心平臺，包含物聯網網關和物聯網統一管理服務，物聯承載專網的鏈路和接入匯聚利用校園網設備和鏈路；第二期，可建設專用的無線物聯網（例如5G、LORA）；或建設專用的物聯網光纖鏈路，新接入一期建設的物聯網核心平臺；或從規劃之初，如果經費足夠，建議建設兩張隔離的學習辦公校園網、物聯多業務承載專網，保障管理和安全的獨立性；所以極簡以太全光方案能夠很好的滿足一張物理網絡承載校園網有線、無線、專網業務，亦能非常平滑的過渡到校園網、物聯網、科研網這樣的多網共存的理想規劃，整體靈活可落地。泛載網接入通過在物理網絡上虛擬不同的業務網方式可實現泛載網，可實現門禁、消防、節能平臺等各種未來物聯網業務的統一承載，不需要區分物理位置任意接入，不關心接入端口、vlan信息，通過圖形化界面實現三分鐘即可快速生成虛擬網絡，提高效率、保證安全隔離的同時，降低物理設備、鏈路的投入。終端即插即用極簡以太全光通過室內交換機標準化、模板化配置，實現IP及業務，不依賴于部署位置和VLAN、端口，從而實現終端的泛載即插即用特性；極簡以太全光解決方案支持啞終端任意端口任意vlan下接入，且靜態IP地址的啞終端無需收集mac地址，終端信息自動在SDN控制器上顯示（可查看終端上線時間、MAC地址廠商、接入位置等），在SDN控制器上進行審批即可入網。SDN控制器還可以通過IP點陣圖的方式進行IP地址管理，靜態IP地址資源使用一目了然。快速審批安全入網傳統網絡方案物聯網終端缺乏易用的安全管理機制，為實現全網的安全及審計，在極簡以太全光解決方案中，無需手工綁定，只需要在在待審批頁面終端準入管控操作，可以查看到未審批通過的終端，管理員可以手動審批或設置自動審批。控制器審批通過的終端，會往交換機下發靜態ARP綁定表項。這個時候物聯網終端可以上網，物聯網終端準入管控入網成功。終端識別及分類：依靠的智能終端識別技術增強型指紋特征庫識別、有監督的機器學習靜態模型、無監督的機器學習模型能夠識別目前高教園區網中常見的20類物聯終端，并機器自動學習新的終端類型，解決高教園區網絡中物聯終端管理盲區，來判斷終端分類、終端上線狀態，從以前被動響應到可以主動發現問題，及時處理。業務網可視化安全隔離傳統的安全隔離需要使用命令行來進行訪問控制列表的設置，不僅復雜且時間長后難以維護，尤其是業務種類增多的時候更加復雜，添加刪除不當還容易造成斷網，極簡解決方案支持可視化安全業務隔離，在業務策略管理-子網隔離策略策略隔離矩陣，進行某兩個業務子網策略選擇為禁止訪問進行隔離。業務網之間的互訪業務網與校內網、互聯網之間的互訪信息安全建設目標高校信息化建設過程中信息安全越來越受到重視，隨著安全技術的不斷革新，安全運維的挑戰已經從建設轉向使用，但由于缺乏好的工具對安全日志進行充分挖掘與利用，很難從海量的日志里獲得有用的信息，導致難以掌握全網的安全狀態，安全設備的價值并沒有被最大的發揮出來。本項目大數據安全管理模塊需要通過對多種設備日志的自動化收集、標準化和關聯分析，在做到日志審計的同時，通過大數據技術降低安全運維人員的時間成本和技術門檻，對網絡中存在的安全問題進行態勢感知。總體構建“可發現”、“可協同”、“可預測”、“可度量”的安全網絡建設體系。攻擊行為可發現隨著安全技術的不斷發展，安全攻擊威脅越來越向常態化、隱蔽化發展，包括0day模式的高級攻擊等，這讓用戶網絡安全形勢日益嚴峻，如何實現非法攻擊行為的及時發現是用戶網絡攻防戰中至關重要的一環。通過對基礎網絡、中間件、業務系統、終端、安全設備等多維度安全攻擊感知信息采集，結合深度分析、機器學習等關鍵技術，實現對用戶網絡中攻擊行為的及時發現和精準定位，并通過攻擊溯源、歸并告警等多種方式進行可視化呈現，讓網絡中的攻擊行為無處可藏安全防護可協同只依靠部署安全設備，并不等于安全，為實現對用戶整體網絡的安全防護，發揮各安全組件最佳整合協同效應，在用戶網絡安全攻防戰中，如何實現“人+平臺+設備”的有機結合及高效協同，跨越安全設備到真正安全間的鴻溝，是安全防護體系建設的一大難題。本次規劃通過分析平臺與安全設備聯動、云端智能分析協同、安全知識庫體系協助、安全專家咨詢、工單跟蹤閉環等機制，構建“人+平臺+設備”的立體化主動防御安全體系，幫助建設可協同的安全網絡，實現安全設備至真正安全的鴻溝跨越。威脅態勢可預測安全攻防戰本質上是時間戰，獲得時間優勢就掌握了安全戰場上的主動權，如何實現對安全威脅態勢的提前預測，成為安全防護技術領域發展的新趨勢，也是下一代安全運營中心典型特征之一。本次規劃通過攻擊趨勢分析、業務曲線學習等機制，對未來威脅態勢進行提前預判，同時結合預警發布、專家咨詢服務等功能及機制設計，實現網絡未來威脅態勢預測，并提供針對性安全防護解決方案。安全狀態可度量在網絡安全領域，不存在百分之百的安全，當攻擊成本遠大于利益獲取時，網絡安全就可以得到保障。幫助用戶找到最適合自身場景的安全建設方案尤其重要，但如何進行安全狀態的量化評估一直是困擾用戶的難題，投入了大量精力對網絡進行安全建設，實際的安全狀態卻無法有效衡量。本次規劃根據安全日志、漏洞、風險、脆弱性等權重綜合評判現網安全狀態，量化全網及業務的安全評分，并通過安全評分趨勢、告警和工單處理等趨勢圖直觀的呈現安全建設業績，建設可度量的安全網絡。信息安全建設內容本次建設內容包括以安全策略管理、安全組織管理、安全運作管理和安全技術框架的中心樞紐，通過通過采集器將所有涉及全省XX信息系統資源的異構日志信息統一收集上來，通過探針將網絡內的流量信息進行統一采集，經過處理分析組件過濾掉無效的流量數據和日志，最終篩選和關聯分析出真正有效的信息安全告警，實現快速定位網絡安全問題，利用工單和安全知識庫相結合，實現責任到人且快速處理問題，讓網絡安全事件完整閉環，實現在網絡安全方面極簡運營。同時通過自帶的漏掃引擎和配置核查系統制定定期安全巡檢工作（1）掌握全網安全信息精準把握安全態勢大數據安全分析需要支持SYSLOG、WMI、FILE、SNMPtrap、DATABASE、SMB等多種日志收集的方式，同時兼容業界主流的安全設備以及網絡設備，將現網當中的網絡設備、主機服務、安全設備、數據庫、中間件的相關日志進行統一的收集，并標準化為統一格式建立日志數據庫倉儲，并結合流量探針實現全網流量的采集，完成數據的歸并和統計，將當前信息系統資源日志和流量數據的價值充分發揮。（2）大數據分析多維度精準定核心風險信息安全系統建設需要支持漏洞掃描和安全配置核查，對業務系統進行全面的安全檢查，同時利用大數據分析技術，結合日志、流量、漏洞、資產、基線多方關聯分析技術明確真正有威脅的攻擊事件，大數據技術的日志分析和預設安全告警策略，不需要進行多次的調試，大數據安全平臺會過濾掉無效的告警事件，在平臺首頁可以看到真正需要幫助的攻擊事件。（3）實現安全事件的全流程管理功能信息安全系統需要實現全流程的安全事件管理功能，通過告警事件的派單動作，將事件轉入到具體的工單管理模塊中，并結合知識庫提供給排查人員安全事件的原理以及相應的解決方案，結合工單管理模塊責任到人，有利于工作的開展和追蹤；同時結合工單分發到整個事件閉環處理后，對已經修復的漏洞、應急安全事件處理進行成果呈現。系統自帶安全運維知識庫，包含了安全事件、日志知識、基線、漏洞等多種安全問題的處理經驗，給技術人員提供安全運維的支撐降低運維的技術門檻。（4）全網安全動態展示根據安全日志、漏洞、風險、脆弱性等權重綜合評判當前信息系統安全狀態，量化為安全評分或評級，并通過安全評分或評級的趨勢、告警和工單處理等趨勢圖直觀的呈現信息系統安全保障情況，實時展示安全態勢感知和攻擊溯源。信息安全建設總體框架整體方案架構整體方案以大數據技術架構為核心，集安全要素獲取、分析、處理、跟蹤、預測的全流程處理，同時結合機器學習等技術，實現對整體網絡的安全態勢感知。大數據分析平臺架構大數據安全平臺是由綜合展現層、業務功能層、綜合分析層、專項管理層、采集層以及接口等部分組成，如下圖所示。在安全管理系統中，主要由安全儀表板、個人工作臺、資產管理、風險管理、告警管理、安全事件管理、漏洞管理、安全基線管理、報表管理、知識庫管理、工單管理、系統管理組成。信息安全建設方案總體規劃整體大數據安全分析平臺采用ElasticSearch、hadoop等開源數據存儲、索引引擎，保證數據不被綁定，便于未來數據的二次應用；采用B/S架構，無需安裝客戶端軟件，支持全中文WEB管理界面，支持SSL加密模式訪問；支持針對網絡中各類安全產品、網絡設備、服務器、中間件、數據庫等產品進行日志收集和標準化，并通過探針進行流量數據采集，通過大數據綜合分析提供安全風險分析和問題定位能力。數據接入層規劃（1）日志接入規劃大數據安全平臺采用SYSLOG、WMI、FILE、SNMPtrap、DATABASE、SMB等多種日志收集的方式，同時兼容業界主流的安全設備以及網絡設備，將現網當中的網絡設備、主機服務、安全設備、數據庫、中間件的相關日志進行統一的收集，并標準化為統一格式建立日志數據庫倉儲，完成數據的歸并和統計，將現網日志數據的價值充分發揮。大數據平臺通過分布式架構進行日志接收和分析性能分擔，采集器負責日志接收能力負載，集群節點負責日志分析能力負載，從而滿足大規模日志接入和分析需求。系統需支持支持主流廠商安全設備、服務器、網絡設備、中間件等設備日志自識別接入；并支持非主流設備日志的自定義接入解析。 系統滿足設備的信息采集要求包括但不限于：（1）安全設備：主流廠商的防火墻、IDS、IPS等設備，如啟明、綠盟、、華為、Juniper、天融信等（2）操作系統：Linux、Windows、Windowserver、Uinx等操作系統（3）數據庫：Oracle、MySQL、SQLServer等（4）應用系統：如Apache、Tomcat、IIS、weblogic等（5）網絡設備：主流廠商的路由器、交換機、負載均衡等網絡設備等，如Cisco、華為、等。支持多級部署，采用日志采集器的方式，將下級網絡節點設備通過日志采集器統一采集后傳輸到日志傳輸至平臺，支持多個日志采集器。分布式部署的方式下，可以制定策略傳輸指定日志，減少日志量。（2）流量采集規劃通過流量探針與大數據安全態勢感知與管控平臺相結合，網絡流量探針采用零拷貝、全程無鎖化技術處理網絡流量數據包，而且充分利用CPU向量化指令對各類模式進行識別或匹配，故即使在超大流量情況下，系統整體處理幾無延時。支持HTTP、TLS（含HTTPS）、SMTP、POP3、IMAP、FTP、SMB、RDP、SSH、Telnet等協議的3-7層元數據提取、存儲、搜索，分析，可二次挖掘可疑攻擊行為。對網絡中的會話正常行為模式進行建模，分析網絡流量速率分布、會話趨勢、會話目的端口分布、會話協議分布、會話包數分布、會話字節數分布、會話源地址分布、會話目的地址分布、會話應用協議分布相關統計情況，通過分析會話流量對于正常行為模式的偏離而識別網絡攻擊，隱蔽傳輸與內網探測檢測等問題大數據分析層規劃大數據安全平臺自身支持漏洞掃描和安全配置核查，也可對接第三方的漏洞掃描設備，通過這兩個安全模塊將會對業務系統進行全面的安全檢查，同時利用大數據分析技術，結合日志、漏洞、資產、基線、流量等多方關聯分析技術明確真正有威脅的攻擊事件，大數據技術的日志分析和預設安全告警策略，不需要進行多次的調試，大數據安全平臺會過濾掉無效的告警事件，在平臺首頁可以看到真正需要幫助的攻擊事件。本次規劃系統可進行集中管理定義事件/日志/流量的過濾策略、歸并策略和關聯策略。支持對不同類型、來源于不同設備或系統的日志和流量進行關聯分析，支持GUI方式的關聯規則設置功能，關聯的類型包括基于規則和基于統計的。支持基于因果式的狀態關聯分析。系統支持基于異常統計模型的檢查分析功能，如：識別異常的流量攻擊等。系統提供狀態關聯、交叉關聯、邏輯關聯等多種關聯管理，可以通過資產、漏洞及攻擊進行交叉關聯，甄別定位真正對網絡有威脅的行為。態勢感知層規劃1、攻擊趨勢展示：結合系統收集到的攻擊事件信息，通過對攻擊事件來源、目標的溯源，從整體態勢上進行攻擊趨勢的展示，可以看到攻擊目標主要區域，攻擊來源地。2、安全信息概況：實時展示目前系統收集到的日志總數、基線違規的數量（例如服務器密碼強度、生存周期等基線要求）、檢測到的漏洞信息、安全告警的總數等。對網絡安全信息情況有整體了解。3、整網安全評分基于對網絡中資產的重要程度、資產的高中低的告警情況、基線掃描的違規情況、漏洞的掃描情況，進行加權計算，得出網絡綜合的安全評分，推薦的標準：分為優良中差危，90分以上為優，70-90為良，55-70為中，40-55為差，0-40為危。也可以根據實際的用戶安全要求標準進行調整。4、安全評分趨勢對最近一個月的安全評分進行趨勢圖呈現，可以幫助網絡管理者對整網的安全趨勢有直觀的了解，如果趨勢上升說明安全工作有成效，如果趨勢下降，則可以提前進行安全分析及加固措施。5、存在高風險的資產對高級別以上風險的資產進行呈現，提醒安全管理員重點關注。6、業務維度的安全評分 以業務為視角，結合業務相關的服務器、網絡設備等資產的安全告警、基線違規、漏洞情況進行綜合計算，實現對業務的安全情況進行量化評分。適用于各業務系統相關負責人對自己負責的業務進行針對性安全關注。7、大數據分析TOP5告警結合告警的嚴重級別及發生的次數，對最嚴重級別的告警進行呈現，可以提醒管理員進行重點關注。8、用戶訪問高危端口TOP5結合審計設備會話日志、探針流量檢測數據以及認證系統實名賬號信息，對用戶訪問高危端口的事件進行統計，包括445、135、3389等，頻繁訪問高危端口是安全威脅事件常見的特征，提醒管理員進行重點進行關注。9、未關閉的告警根據安全告警的處理狀態，對還未閉環的告警進行統計展示，包括待處理和已確認（知曉確認，但未處理）、已經派單給負責人的，可以對進行中告警重點呈現。10、全球攻擊態勢感知根據系統采集的攻擊信息，對攻擊來源、目標等進行統計展示，對攻擊來源國家進行溯源，讓管理員對全網的攻擊態勢有全局的了解，如發生突發式攻擊形態變化，可以進行重點關注。信息安全方案價值整網安全狀態的掌握需要結合全網日志+流量數據進行綜合安全分析，從外部威脅（南向威脅）、外連威脅（北向威脅）、內部互聯威脅（東西向威脅）、安全脆弱性、全球攻擊態勢直觀展示整網安全態勢，做到聰者聽于無聲，明者見于未形，全天候全方位感知網絡安全態勢。簡單閉環安全問題從每天數以億計的數據中準確定位全網威脅最大、最真實的安全問題。利用基于狀態機的關聯分析、基于統計的機器學習、基于威脅情報的安全分析、基于機器學習和神經網絡的分析算法等分析結果，以資產、業務等維度綜合關聯，形成完整的安全事件，并以殺傷鏈和時間軸方式直觀展示，一個頁面看清安全問題發生的過程和狀態，從而針對性的進行安全問題處理。主動安全防護變被動為主動，從已出問題（失陷態勢）、正在入侵（攻擊態勢）、已知風險（行為風險）、潛在風險（脆弱性）四個維度綜合呈現安全整體態勢，并層次遞進解決目前網絡中國的安全風險，做到主動防護的同時，支撐安全重點運維工作出口安全建設目標雙機熱備，更安全，易擴展兩臺RSR77-X組HA方案，保障出口設備冗余和高可用，設備出現故障后實現秒級切換，對整個用戶上網體驗無感知出口帶寬增加需要提升出口設備性能的時候，只需要增加板卡即可完成出口設備的性能擴容，無需對整臺設備進行替換，保護用戶已有的投資。校園運維場景設計零配置，減少日常維護復雜度通過集中管理的改造，可以極大的簡化校園網接入區域的管理和維護工作，但是將功能和策略的上收并不能完全解決入室交換機的配置工作量，主要原因如下：即使是將大部分的功能和策略上收，在入室交換機還是存在Vlan的配置和管理，由于高校規模龐大的接入設備數量，Vlan的配置和管理將帶來巨大的工作量。同時學生用戶通過各種渠道獲得了接入設備的登陸權限，有意無意的會造成接入設備的配置錯誤甚至配置丟失，雖然不會造成免認證和不受控上網，但會引起整個接入設備下的用戶無法接入網絡。解決這個問題需要管理員定期的修改設備管理賬號和密碼，同樣由于高校規模龐大的接入設備數量，這個工作基本上是不可能完成的任務。簡化Vlan配置部署為了簡化VLAN配置管理，“極簡以太全光網絡”通過管理軟件來上收校園網接入設備的Vlan配置部署，其核心思路是將VLAN配置管理的操作封裝成一個配置任務。該配置任務分為四個步驟：配置前備份、配置下發、配置后比對、配置后備份。當用戶需要對網絡進行VLAN配置時只需要創建任務并執行任務即可；入室交換機零配置入網和光鏈路檢測網絡部署中有大量的入室交換機在學校的教室和辦公室，一旦入室交換機出現問題，維護工作尤為復雜。通過SDN技術可以輕松實現設備自動化運維，減輕運維人員的工作負擔。接入設備模板化，接入設備即插即用，消除人為能力因素，通過可視化提升效率，提升體驗。接入設備模板化配置，下聯端口vlan無關避免接錯口問題。通過自動化運維的解決方案做到設備0配置上線、0配置替換。改成全光網后當房間數比較多的時候，光纖鏈路診斷、故障的定位修復，一直是一個大難題，耗費的時間也很長。在傳統網絡中，鏈路的診斷和定位功能不夠精確，很難達到用戶的需求，基于這些需求，在極簡以太全光網方案中，希望把整個運維過程做到極簡，管理員只需要三步，就可以做到全流程的管控。第一步查看設備狀態：包括設備的在線狀態、連通狀態、配置狀態等；第二步查看鏈路的狀態：包括光鏈路自動告警和檢測，以及告警原因分析和處理建議等；第三步呢，就是高階光鏈路診斷，除了確定故障源之外，我們還支持手機掃描、一鍵獲取全鏈路詳情的功能。用戶也可以靈活選擇主動管理或被動管理，保證客戶一人管理，整個網絡一鍵搞定。網隨人動策略隨行無線網絡，物聯網絡業務終端快速增長，終端位置的移動接入成為常態，業務的靈活部署以及遷移成為剛需。以往的基于網絡位置進行網絡規劃的方式無法滿足現有復雜的業務場景。極簡以太全光解決方案支持終端位置移動IP網段隨行，因此我們只需要將策略應用在對應的用戶分組或者指定ip上，這樣用戶的所有的安全策略和權限就能移動隨行。面對海量的物聯網終端、打印機、移動PC入網，無需更改接入設備的配置，通過SDN技術把VLAN和IP、端口解耦。通過提供業務與IP網段的綁定可實現業務快速部署。業務終端可分布在全網任意區域，達到了業務之間的邏輯隔離。在整體安全策略部署方面采用SDN（軟件定義網絡）技術，提高安全設備資源利用率，提高整體安全性能，實現擴品牌跨型號安全設備冗余熱備。為更加方便部署安全策略，通過SDN實現用戶的IP隨行，實現IP即用戶，IP段即用戶組，做到用戶任意地方接入IP地址不變，由于地址不變，安全策略及權限也不用變化，做到安全策略隨行。智慧運維管理平臺樂享運維管理平臺的總體設計方案及系統功能架構：1.總體設計框架：樂享運維管理平臺結合當前智能運維的發展趨勢和的自身需求，智能運維管理系統的總體功能架構分為服務層、應用層和觸達層三個層面，系統功能架構圖如下所示：智能運維管理系統功能架構圖服務層：采用微服務架構的設計思路，將運維的標準服務能力下沉到平臺，平臺能力包括不限于采控、自動發現、CMDB、自動化運維、智能算法、執行調度、自動執行、權限控制等對象化的基礎服務，使運維平臺具備更用戶化的適應能力，以及與其他系統交互的能力。應用層：結合用戶的需求，每種運維場景通過組件化的方式進行封裝，支持的場景可靈活擴展，并通過統一的服務接口對外提供數據服務，構建豐富的應用功能，如運營服務、業務監控、健康檢查、運維工具、全域資源健康等。觸達層：提供了多種展示視圖和方式，為不同的用戶提供不同的管理視圖，包括工作門戶、大屏展示視圖、通知等。2.系統技術架構：系統采用了Kubernetes容器和Docker的運行架構，可彈性使用系統資源。采用了混合式數據存儲方式，使用了Postgresql（關系型數據庫）、Clickhouse（時序數據庫）、Arangodb（圖形數據庫）、Redis（非關系類型數據庫）等多種類型數據庫，滿足對結構化、半結構化、非結構化數據的存儲和處理要求。前端基于FusionDesign的框架，通過基于DPL模式，設計前端之間的標準協議與工作流來快速構建符合業務訴求的DPL，提升DPL的構建效率和應用效率，進而實現業務UI的快速構建。同時加入了對WebGL、HTML5的支持，滿足數據多種可視化的呈現要求。系統技術架構圖集成運行平臺基于DevOps設計思想，實現系統的部一鍵部署、升級和可視化組件狀態運維管理，且平臺還提供了自動化的調度和負載分擔的機制，并可以按照需求進行擴容。系統的采集層、處理層、通訊層、展示層均以Docker容器的方式封裝隔離，通過Kubernetes進行編排和管理，然后通過集成平臺管理界面進行統一的集群安裝部署，平滑升級，并提供系統自檢、自愈、備份、擴容等功能。資源層運維平臺可以管理的所有對象，包含機房動環、IP終端、網絡設備、安全設備、無線設備、服務器、存儲、OS、中間件、數據庫、虛擬化、云平臺以及應用系統等。采集層運維平臺支持Agent和Agentless兩種采集方式，同時預留第三方的接口，可以對接第三方系統推送的數據。數據范圍包含了動環數據、設備運行數據、中間件/數據庫運行數據、流量數據、關系數據、日志數據、應用系統運行數據等，結合系統對黃金指標的定義，實現對數據的采集和分類。支持的采集協議包含了如SNMP、Telemetry(遙測)、SSH/Telnet、WinRM/WMI、NetFlow、NetStream、JDBC、JMX、HTTP、SMI-S、IPMI、WebSocket、crul（仿真探測）等。處理層數據處理層只要是對采集的原始數據進行清洗、過濾、抽取、轉換、計算等使其數據能滿足上層業務場景對數據的消費。為了確保采集數據的實時入庫和高頻度實時查詢需求，滿足高可用、高并發、高性能等特性，系統采用了混合式的數據存儲方式，其中關系型數據庫Postgresql用來存儲系統的相關數據，如用戶數據、系統配置等數據；使用時序數據Clickhouse，用于存儲所有的指標數據，以滿足系統對指標的高性能查詢和數據分析；使用圖數據庫ArangoDB用來存儲CI之間的關系，便于對關系數據的及時更新和實時查詢；使用緩存數據庫Redis為系統中關鍵的功能如告警、風險檢查等關鍵功能進行加速支持，使其能快速讀取和計算；使用kafka滿足系統中大規模的消息高速吞吐處理；使用Zookeeper滿足系統分布式集群各組件的協調處理需求。業務層系統的業務應用層（APPserver或者webserver層）,該層為智能運維平臺的“上傳下達”層，負責按照展示層的需求調用處理層接口上的數據，同時按照應用需求對處理層提供的基礎數據進行簡單的再加工，如單位換算、簡單的數據過濾（如隱藏特定字段、特定排序等）。通訊層通訊層為展示層以及第三方系統提供統一的接口服務。包含了為所有業務提供鑒權、認證服務，提供了第三方的單點登錄接口，實現與第三方系統的登錄對接。展示層展示層為智能運維管理平臺的集中展示門戶，是使用者可觸達的入口。主要包括了工作門戶、運營輔助決策、通知中心。其中工作門戶使用了UI-CBB的實現架構，通過靈活的配置，讓使用者按照工作習慣實現自己的工作門戶。運營輔助決策主要使用的技術棧包括Html5、Javascript、Css、WebGL等主流的web前端技術滿足各種場景和應用的需求。3.部署架構樂享智能運維管理系統采用容器化部署平臺，其中容器采用Docker引擎，容器編排采用Kubernetes來進行管理。集群支持對微服務進行部署、監控、啟停。集群組最小可以支持一個Master節點和一個Worker節點，同時也可以根據監控資源的數量或者應用模塊的多少進行擴容。系統部署架構圖對于多節點監控或者擴展存在分支網絡的情況，為了解決安全隔離或者廣域網傳輸等，也可以分離采控代理的方式進行部署。如以下部署方式：分離采控代理方式部署架構圖其中在K8S的環境中也具備采控代理的能力，在沒有分支部署需求或者采集資源不多的情況下，直接部署一個K8S的環境即可滿足對資源的自動發現、采集、動作執行以及仿真探測等任務。4.主要技術應用建設智能運維管理系統需要借助新型的信息技術，在本次建設中我們推薦采用以下技術應用。1、基于業務體驗的提前預警：通過流量探針與仿真撥測設備對不同鏈路、不同業務的訪問體驗進行監控，實現早于用戶發現異常。同時，為服務臺人員受理用戶的異常反饋后可以更快地識別故障區域、并更準確地分配處置任務。2、根因關聯分析：通過統一的CMDB整合了基礎網管、準入管理、流量采集分析等不同運維系統的運行數據及各CI實例之間的關系，當某個資源發現告警時，可以通過系統內置的關系圖自動計算出該告警產生的可能原因及對哪些資源會產生影響，協助服務人員更快速地定位發生異常的具體區域，并為查找原因提供數據支撐；3、圖數據庫在CMDB上的應用：為了直接的表達CI之間的關系，高效寫入大量的關系數據，提升關系的關聯查詢能力，系統引入圖數據庫替換傳統的關系型數據庫。圖數據庫在構建關系、插入大量數據及關聯查詢都進行針對性的優化，比如存儲模型上、數據結構、查詢算法等，防止局部數據的查詢引發全部數據的讀取。在做關聯數據查詢上，效果遠好于傳統數據庫。同時，圖數據庫也對查詢語句做了專門的抽像，對于復雜查詢業務的實現更容易。4、引入黃金指標，對每類資源在基礎