校園網(wǎng)絡(luò)升級(jí)改造解決方案

DOCPROPERTY"Product&ProjectName"DOCPROPERTYDocumentNameCloudCampus大中型園區(qū)網(wǎng)絡(luò)設(shè)計(jì)指南（虛擬化場(chǎng)景）STYLEREF"1"\n2STYLEREF"1"安裝過程校園網(wǎng)絡(luò)升級(jí)改造解決方案V3.0文檔版本DOCPROPERTYDocumentVersion04(DOCPROPERTYReleaseDate2021-09-15)DOCPROPERTYProprietaryDeclaration版權(quán)所有?華為技術(shù)有限公司5PAGE130校園網(wǎng)絡(luò)升級(jí)改造解決方案目錄1概述 41.1高教網(wǎng)絡(luò)建設(shè)背景 41.2高校園區(qū)網(wǎng)絡(luò)挑戰(zhàn) 42高校各場(chǎng)景的建設(shè)需求 92.1基礎(chǔ)承載網(wǎng)場(chǎng)景 92.1.1教學(xué)場(chǎng)景 92.1.2辦公場(chǎng)景 102.1.3宿舍場(chǎng)景 102.2校園網(wǎng)安全場(chǎng)景 102.2.1終端安全 102.2.2內(nèi)網(wǎng)安全 112.3校園網(wǎng)運(yùn)維場(chǎng)景 112.3.1即插即用，極速上線 112.3.2故障監(jiān)測(cè)預(yù)警，智能運(yùn)維 122.3.3策略隨行一致體驗(yàn) 122.3.4運(yùn)維管理的需求 132.4校園網(wǎng)運(yùn)營(yíng)場(chǎng)景 132.4.1精細(xì)化運(yùn)營(yíng) 133極簡(jiǎn)以太全光方案 143.1方案簡(jiǎn)介 143.1.1方案拓?fù)浣Y(jié)構(gòu) 143.1.2以太全光網(wǎng)架構(gòu)特點(diǎn) 153.1.3方案組件 153.1.4主要建設(shè)性能指標(biāo) 174極簡(jiǎn)光綜合布線設(shè)計(jì) 194.1綜合布線概要一覽表 194.2水平子系統(tǒng)（房間至樓層弱電間）設(shè)計(jì) 194.3樓層弱電間設(shè)計(jì) 204.4垂直子系統(tǒng)（樓層弱電間至樓宇匯聚機(jī)房）設(shè)計(jì) 204.5樓宇匯聚機(jī)房設(shè)計(jì)說明 214.6多媒體箱安裝規(guī)范 224.7房間內(nèi)布線示意 234.7.1中低密度房間 244.7.2大廳場(chǎng)景 255高校各場(chǎng)景的網(wǎng)絡(luò)設(shè)計(jì) 255.1基礎(chǔ)承載網(wǎng)場(chǎng)景設(shè)計(jì) 255.1.1教學(xué)場(chǎng)景 255.1.2辦公場(chǎng)景 275.1.3宿舍場(chǎng)景 285.2校園安全場(chǎng)景設(shè)計(jì) 285.2.1終端安全建設(shè)目標(biāo) 285.2.2信息安全建設(shè)目標(biāo) 335.2.3出口安全建設(shè)目標(biāo) 425.3校園運(yùn)維場(chǎng)景設(shè)計(jì) 435.3.1零配置，減少日常維護(hù)復(fù)雜度 435.3.2簡(jiǎn)化Vlan配置部署 435.3.3入室交換機(jī)零配置入網(wǎng)和光鏈路檢測(cè) 435.3.4網(wǎng)隨人動(dòng)策略隨行 445.3.5智慧運(yùn)維管理平臺(tái) 455.3.6多運(yùn)營(yíng)商有線無(wú)線統(tǒng)一認(rèn)證計(jì)費(fèi)運(yùn)營(yíng)設(shè)計(jì) 505.3.7校內(nèi)校外認(rèn)證融合運(yùn)營(yíng)設(shè)計(jì) 505.3.8學(xué)校精細(xì)化管理設(shè)計(jì) 525.4方案價(jià)值 535.4.1滿足學(xué)校管理訴求，打消壟斷顧慮 535.4.2提升用戶體驗(yàn) 535.4.3運(yùn)營(yíng)商快速拓新 546方案選型建議 627.1產(chǎn)品選型建議 627.1.1設(shè)備選型 62概述高教網(wǎng)絡(luò)建設(shè)背景教育部印發(fā)的《教育信息化十年發(fā)展規(guī)劃（2011－2020年）》中強(qiáng)調(diào)信息化對(duì)于提高教育質(zhì)量、構(gòu)建人力資源強(qiáng)國(guó)具有重大意義。以教育信息化帶動(dòng)教育現(xiàn)代化，是我國(guó)教育事業(yè)發(fā)展的戰(zhàn)略選擇。教育部印發(fā)的《教育信息化“十三五”規(guī)劃》中也強(qiáng)調(diào)“十三五”期間，堅(jiān)持“四個(gè)全面”戰(zhàn)略布局，牢固樹立和貫徹落實(shí)創(chuàng)新、協(xié)調(diào)、綠色、開放、共享的發(fā)展理念，以“構(gòu)建網(wǎng)絡(luò)化、數(shù)字化、個(gè)性化、終身化的教育體系，建設(shè)‘人人皆學(xué)、處處能學(xué)、時(shí)時(shí)可學(xué)’的學(xué)習(xí)型社會(huì)，培養(yǎng)大批創(chuàng)新人才”為發(fā)展方向，按照“服務(wù)全局、融合創(chuàng)新、深化應(yīng)用、完善機(jī)制”的原則，穩(wěn)步推進(jìn)教育信息化各項(xiàng)工作，更好地服務(wù)立德樹人，更好地支撐教育改革和發(fā)展，更好地推動(dòng)教育思想和理念的轉(zhuǎn)變，更好地服務(wù)師生信息素養(yǎng)的提升，更好地促進(jìn)學(xué)生的全面發(fā)展，推動(dòng)形成基于信息技術(shù)的新型教育教學(xué)模式與教育服務(wù)供給方式，提升教育治理體系和治理能力現(xiàn)代化水平，形成與教育現(xiàn)代化發(fā)展目標(biāo)相適應(yīng)的教育信息化體系，充分發(fā)揮教育信息化對(duì)教育現(xiàn)代化的支持和引領(lǐng)作用。學(xué)校智慧校園建設(shè)是實(shí)現(xiàn)學(xué)校教育現(xiàn)代化的抓手和基礎(chǔ)核心工作。高校園區(qū)網(wǎng)絡(luò)挑戰(zhàn)傳統(tǒng)校園網(wǎng)方案設(shè)計(jì)無(wú)論是從管理、維護(hù)還是整合，均采用的是分布或分散式的模式，即管理層級(jí)過多、維護(hù)力量分散、功能和策略部署在接入層、資源整合采用多方溝通和協(xié)調(diào)。這種模式不但在現(xiàn)階段讓網(wǎng)絡(luò)中心難以提升服務(wù)質(zhì)量、提高服務(wù)響應(yīng)率，而且會(huì)降低用戶體驗(yàn)度，同時(shí)也無(wú)法應(yīng)對(duì)無(wú)線校園乃至物聯(lián)網(wǎng)浪潮所帶來的挑戰(zhàn)。在高教行業(yè)中，隨著教學(xué)數(shù)字化的繼續(xù)發(fā)展，原先采用的三層物理架構(gòu)組網(wǎng)模型存在擴(kuò)展性差、帶寬升級(jí)麻煩、終端部署困難、弱電間安全隱患凸顯等一系列問題，具體如下：施工部署的問題隨著業(yè)務(wù)增加，信息點(diǎn)位增多，業(yè)務(wù)無(wú)法靈活擴(kuò)展，每增加一個(gè)業(yè)務(wù)/終端就需要從弱電井重新布線，導(dǎo)致橋架空間壓力大。業(yè)務(wù)改造都要從橋架中理線麻煩成本高，廢棄直接部署新網(wǎng)線導(dǎo)致橋架網(wǎng)線越來越多，不美觀，橋架空間壓力大。每次網(wǎng)絡(luò)改造或上新業(yè)務(wù)都要全網(wǎng)改造，同時(shí)施工經(jīng)常會(huì)弄斷其他業(yè)務(wù)網(wǎng)線，影響正常業(yè)務(wù)開展。端口擴(kuò)展問題多媒體教室從最初的有線網(wǎng)部署開始，隨著教學(xué)改革，業(yè)務(wù)逐漸發(fā)展演進(jìn)，從有線網(wǎng)->標(biāo)準(zhǔn)化考場(chǎng)專網(wǎng)->無(wú)線網(wǎng)->物聯(lián)網(wǎng)，這造成每次業(yè)務(wù)的發(fā)展都需要上線一批終端，拉數(shù)根網(wǎng)線進(jìn)教室；可以預(yù)見的是：未來進(jìn)入教室的終端只會(huì)越來越多，需要擴(kuò)展的接入點(diǎn)端口和網(wǎng)線數(shù)量會(huì)成為每次業(yè)務(wù)發(fā)展的阻礙。帶寬升級(jí)問題隨著大帶寬業(yè)務(wù)需求（如錄播、WIFI6等）出現(xiàn)，校園網(wǎng)絡(luò)需要頻繁升級(jí)。無(wú)線業(yè)務(wù)驅(qū)動(dòng)高教校園網(wǎng)升級(jí)，校園無(wú)線每升級(jí)一次，就需要對(duì)現(xiàn)網(wǎng)的線路改造替換一次。傳統(tǒng)以太網(wǎng)部署使用的是網(wǎng)線，網(wǎng)線分四類型、五類線、超五類線、六類線等不同類型，每次網(wǎng)絡(luò)升級(jí)都需要更換整個(gè)網(wǎng)絡(luò)線路，同樣存在網(wǎng)絡(luò)升級(jí)成本高的問題。終端準(zhǔn)入問題隨著信息化的不斷深入，數(shù)字化終端接入網(wǎng)絡(luò)的要求越來越多?，F(xiàn)在教室普遍存在多網(wǎng)絡(luò)，每張網(wǎng)絡(luò)具有多個(gè)終端。傳統(tǒng)以太網(wǎng)部署是將接入交換機(jī)放在弱電間，再鋪設(shè)網(wǎng)線到教室終端。每個(gè)教室終端需要鋪設(shè)一根網(wǎng)線，日益增多的教室終端導(dǎo)致需要海量的網(wǎng)線數(shù)量?；氐搅藛栴}1描述的場(chǎng)景。弱電間安全問題弱電間堆放大量有源通信設(shè)備，存在消防安全隱患。傳統(tǒng)的以太網(wǎng)部署需要將接入設(shè)備放置于弱電間，從而增加安全隱患。另外，受限于弱電間選址問題，弱電間環(huán)境普遍較差，輕則產(chǎn)生電磁干擾，重則影響網(wǎng)絡(luò)設(shè)備使用壽命。網(wǎng)絡(luò)安全問題為了保證校園網(wǎng)絡(luò)安全，學(xué)校都會(huì)部署很多的安全設(shè)備，傳統(tǒng)的安全設(shè)備只能阻斷南北向的數(shù)據(jù)流量的安全問題，但是在內(nèi)網(wǎng)出現(xiàn)安全問題后，很難校園網(wǎng)內(nèi)部的攻擊、病毒的傳播，學(xué)校依然會(huì)收到安全協(xié)查通報(bào)，攻擊/病毒等很難難阻斷。校園網(wǎng)運(yùn)營(yíng)難問題校園網(wǎng)需要運(yùn)營(yíng)商/投資方聯(lián)合運(yùn)營(yíng)，但是不少學(xué)校采用的運(yùn)營(yíng)商提供的運(yùn)營(yíng)模式與本學(xué)校的實(shí)際情況差距較大。學(xué)校不是運(yùn)營(yíng)商，運(yùn)營(yíng)經(jīng)驗(yàn)不足，出現(xiàn)問題后設(shè)備的維護(hù)邊界不清，導(dǎo)致相互推諉扯皮等問題。如何保障學(xué)校運(yùn)營(yíng)的順利展開，采用什么樣的計(jì)費(fèi)策略、收費(fèi)繳費(fèi)流程、采用怎樣的模式劃定設(shè)備維護(hù)邊界進(jìn)行管理都是學(xué)校急需解決的問題。出口靈活擴(kuò)容問題學(xué)校擴(kuò)招、學(xué)生上網(wǎng)需求增加，新應(yīng)用及技術(shù)驅(qū)動(dòng)，帶來帶寬需求增加。同時(shí)隨著有線無(wú)線同時(shí)運(yùn)行，電腦、手機(jī)、pad等終端使用帶來出口設(shè)備認(rèn)證并發(fā)需求增加。師生上網(wǎng)使用需求增加導(dǎo)致出口設(shè)備壓力增大，設(shè)備故障風(fēng)險(xiǎn)直接影響全校網(wǎng)絡(luò)運(yùn)行，所以需要更加穩(wěn)定的出口方案，同時(shí)滿足未來隨著業(yè)務(wù)發(fā)展可以靈活的擴(kuò)容。高校各場(chǎng)景的建設(shè)需求基礎(chǔ)承載網(wǎng)場(chǎng)景教學(xué)場(chǎng)景隨著普通教室向標(biāo)準(zhǔn)化考場(chǎng)、多媒體教室進(jìn)行改造，學(xué)校在業(yè)務(wù)迭代的過程中促進(jìn)教室信息點(diǎn)持續(xù)增加，從傳統(tǒng)的一個(gè)教室2-4個(gè)信息點(diǎn)（多媒體電腦、無(wú)線、視頻監(jiān)控）到現(xiàn)在新增云桌面、數(shù)字廣播、大屏/黑板、電子班牌、物聯(lián)網(wǎng)等6-12個(gè)信息點(diǎn)，教室的教學(xué)網(wǎng)絡(luò)環(huán)境需要持續(xù)改造升級(jí)，要支持業(yè)務(wù)靈活擴(kuò)展。同時(shí)越來越多的新建智慧教室、VR/AR教室、實(shí)訓(xùn)樓/實(shí)訓(xùn)室等新型教學(xué)環(huán)境，教學(xué)類業(yè)務(wù)對(duì)帶寬和延遲需要越來越高：3D/VR/AR教室訪問數(shù)據(jù)中心/云端資源需要無(wú)線提供高并發(fā)和大流量（WIFI6）的支撐——VR教學(xué)的終端，單終端50~300Mbps，時(shí)延要低于8ms。無(wú)線平板教學(xué)，單個(gè)終端需要30~50Mbps的帶寬，延遲要小于20ms；云機(jī)房/PC機(jī)房東西向、南北向并發(fā)流量大，對(duì)帶寬和網(wǎng)絡(luò)穩(wěn)定性要求高——進(jìn)行鏡像下發(fā)時(shí)，每個(gè)終端需要至少30Mbps帶寬。60個(gè)設(shè)備同時(shí)訪問SPOC、MOOC資源、PXE克隆、教學(xué)廣播需要內(nèi)部二層轉(zhuǎn)發(fā)。主要教學(xué)應(yīng)用對(duì)帶寬的要求如下：辦公場(chǎng)景行政人員辦公經(jīng)常面臨工位頻繁更換，信息點(diǎn)位不固定，甚至是大范圍挪移，出現(xiàn)端口不夠用的情況就只能使用傻瓜交換機(jī)級(jí)聯(lián)拓展，存在發(fā)生環(huán)路引發(fā)網(wǎng)絡(luò)運(yùn)行不穩(wěn)定的風(fēng)險(xiǎn)；而管理人員的辦公室通常部署在每個(gè)樓層的末端，這種VIP辦公室距離弱電間超過100m，就會(huì)造成拉線困難，同時(shí)VIP辦公室要求施工簡(jiǎn)單，盡可能縮短工期，室內(nèi)設(shè)備美觀。辦公網(wǎng)設(shè)備線路難以頻繁改造，布線施工成難題。在辦公室里除了需要滿足高帶寬要求外，還需要重點(diǎn)考慮數(shù)據(jù)的共享，老師會(huì)使用網(wǎng)上鄰居進(jìn)行數(shù)據(jù)共享，跨房間之間的打印機(jī)共享等業(yè)務(wù)，所以在辦公網(wǎng)的設(shè)計(jì)規(guī)劃中需要靈活劃分業(yè)務(wù)隔離與共享。宿舍場(chǎng)景宿舍區(qū)域人數(shù)多、空間小、終端種類多、并發(fā)終端數(shù)量大，干擾較為嚴(yán)重。隨著學(xué)生對(duì)上網(wǎng)網(wǎng)絡(luò)質(zhì)量和上網(wǎng)流量的需求越來越大，需要滿足無(wú)線信號(hào)的全覆蓋，同時(shí)提供優(yōu)質(zhì)的上網(wǎng)體驗(yàn)。校園網(wǎng)安全場(chǎng)景終端安全電腦、筆記本、手機(jī)等師生辦公學(xué)習(xí)終端，打印機(jī)、刷卡器、監(jiān)控等啞終端，電子班牌、智慧大屏、數(shù)字圖書館等公共上網(wǎng)終端，校園的各類型的業(yè)務(wù)終端井噴式增長(zhǎng)。傳統(tǒng)網(wǎng)絡(luò)環(huán)境下一臺(tái)IOT終端上線要經(jīng)歷IP申請(qǐng)、信息分配記錄、找位置找端口、劃分業(yè)務(wù)VLAN、配置訪問策略、信息上線記錄，到最后的上線聯(lián)調(diào)，過程冗長(zhǎng)終端上線效率低。同時(shí)，傳統(tǒng)網(wǎng)絡(luò)環(huán)境下對(duì)IOT終端的安全管控仍需要手動(dòng)搜集MAC地址，再進(jìn)行基于端口和MAC的綁定。或者將啞終端設(shè)置為免認(rèn)證終端直接放通，這樣就會(huì)存在用戶私接入網(wǎng)以及不合法終端也能直接入網(wǎng)，存在被攻擊、數(shù)據(jù)泄露的風(fēng)險(xiǎn)。傳統(tǒng)校園網(wǎng)運(yùn)維和安全存在著極大的麻煩和風(fēng)險(xiǎn)。校園物聯(lián)網(wǎng)需要一個(gè)支持終端快速上線、安全隔離，人、物公用的易維護(hù)的好網(wǎng)絡(luò)。內(nèi)網(wǎng)安全當(dāng)前網(wǎng)絡(luò)與信息安全領(lǐng)域，正面臨著全新的挑戰(zhàn)。一方面，伴隨大數(shù)據(jù)和云計(jì)算時(shí)代的到來，安全問題正在變成一個(gè)大數(shù)據(jù)問題，高校校園網(wǎng)絡(luò)及信息系統(tǒng)每天都在產(chǎn)生大量的安全數(shù)據(jù)，并且產(chǎn)生的速度越來越快。另一方面，校園面對(duì)的網(wǎng)絡(luò)空間安全形勢(shì)嚴(yán)峻，需要應(yīng)對(duì)的攻擊和威脅變得日益復(fù)雜，這些威脅具有隱蔽性強(qiáng)、潛伏期長(zhǎng)、持續(xù)性強(qiáng)的特點(diǎn)。傳統(tǒng)系統(tǒng)信息安全保障能力面臨以下四個(gè)方面的問題：（1）不能及時(shí)識(shí)別信息安全事件當(dāng)前，信息系統(tǒng)結(jié)構(gòu)復(fù)雜，網(wǎng)絡(luò)、安全設(shè)備較多，產(chǎn)生安全事件數(shù)量巨大，根據(jù)調(diào)查，至少95%以上的安全事件屬于誤報(bào)，真正存在的少量安全事件在海量的、不同結(jié)構(gòu)的安全告警信息中難以有效識(shí)別發(fā)現(xiàn)。（2）威脅識(shí)別能力有限安全分析以人工方式為主，只能識(shí)別已知并且已描述的攻擊，難以識(shí)別復(fù)雜的攻擊，無(wú)法識(shí)別未知的攻擊；安全事件之間存在橫向和縱向方面（如不同空間來源、時(shí)間序列等）的關(guān)系未能得到綜合分析，因此漏報(bào)嚴(yán)重，不能實(shí)時(shí)預(yù)測(cè)。一個(gè)攻擊活動(dòng)之后常常接著另外一個(gè)攻擊活動(dòng)，前一個(gè)攻擊活動(dòng)為后者提供基本條件；一個(gè)攻擊活動(dòng)在多個(gè)安全設(shè)備上產(chǎn)生了安全事件；多個(gè)不同來源的安全事件其實(shí)是一種協(xié)作攻擊，這些都缺乏有效的綜合分析；（3）安全預(yù)判能力有限，缺乏對(duì)抗能力安全運(yùn)營(yíng)以被動(dòng)應(yīng)急響應(yīng)為主，難以對(duì)風(fēng)險(xiǎn)進(jìn)行提前的評(píng)估與研判，總是疲于救火；為了切實(shí)加強(qiáng)信息系統(tǒng)安全保障能力，可以規(guī)劃采用大數(shù)據(jù)技術(shù)來建設(shè)信息系統(tǒng)綜合運(yùn)維監(jiān)控管理平臺(tái)，實(shí)現(xiàn)大數(shù)據(jù)安全管理和數(shù)據(jù)中心信息安全違規(guī)檢測(cè)。校園網(wǎng)運(yùn)維場(chǎng)景即插即用，極速上線在用戶的設(shè)備上線和替換過程中當(dāng)前遇到三個(gè)問題：?jiǎn)栴}一：設(shè)備替換對(duì)人是有要求的，無(wú)法說任意的人均能換設(shè)備，問題二：能替換的人少，因受限制于校園網(wǎng)面積大等問題，替換效率低下。問題三：學(xué)生也比較強(qiáng)勢(shì)，如果斷網(wǎng)時(shí)間長(zhǎng)會(huì)投訴。針對(duì)上面的三個(gè)問題，自動(dòng)化運(yùn)維已經(jīng)解決了其中的一部分問題了，但這個(gè)過程中有幾個(gè)地方經(jīng)常出錯(cuò)1.接入模板不統(tǒng)一，不固定，渠道按自己理解的來制作，不是最佳實(shí)施方案，容易出現(xiàn)部署過程設(shè)備配置模板錯(cuò)誤導(dǎo)致部署斷網(wǎng)。2.耗時(shí)長(zhǎng)，容易出錯(cuò)，特別是每臺(tái)設(shè)備的vlan，ip要修改。集成商人工刷配置，每個(gè)人的技術(shù)，素質(zhì)都不固定，很容易出現(xiàn)工作馬虎，配錯(cuò)，漏配的情況。3.上架的時(shí)候可能拿錯(cuò)設(shè)備，接錯(cuò)口；另外傳統(tǒng)網(wǎng)絡(luò)在運(yùn)維期間，由于各個(gè)接入設(shè)備的模板都不一樣，在業(yè)務(wù)新入網(wǎng)時(shí)候需要更改接入設(shè)備的配置，對(duì)網(wǎng)絡(luò)管理人員的運(yùn)維能力還是有要求，特別是替換的時(shí)候，配置不同容易導(dǎo)致更換設(shè)備的時(shí)候配置錯(cuò)誤引起斷網(wǎng)。故障監(jiān)測(cè)預(yù)警，智能運(yùn)維多網(wǎng)融合，設(shè)備激增，專業(yè)人手不足，高校運(yùn)維團(tuán)隊(duì)常年保持人數(shù)不變，運(yùn)維成本逐年增加。傳統(tǒng)網(wǎng)絡(luò)故障定位過程繁瑣，且無(wú)法提前感知風(fēng)險(xiǎn)。并且在當(dāng)今世界，萬(wàn)物都通過網(wǎng)絡(luò)實(shí)現(xiàn)互聯(lián)。從園區(qū)或分支機(jī)構(gòu)場(chǎng)所的用戶和設(shè)備到數(shù)據(jù)中心或云中的應(yīng)用，網(wǎng)絡(luò)擁有巨大潛力，可以不斷優(yōu)化調(diào)整，保護(hù)所有IT與業(yè)務(wù)流程，并提供洞察力。唯有借助基于意圖的網(wǎng)絡(luò)。這種網(wǎng)絡(luò)能夠捕捉業(yè)務(wù)意圖，并在整個(gè)網(wǎng)絡(luò)范圍實(shí)施策略和網(wǎng)絡(luò)狀態(tài)感知，進(jìn)行數(shù)據(jù)預(yù)測(cè)并建立流量模型，主動(dòng)服務(wù)于網(wǎng)絡(luò)運(yùn)維工作。同樣高校的網(wǎng)絡(luò)建設(shè)也應(yīng)該符合意圖網(wǎng)絡(luò)發(fā)展趨勢(shì)。策略隨行一致體驗(yàn)傳統(tǒng)網(wǎng)絡(luò)狀態(tài)下，用戶移動(dòng)，IP地址發(fā)生變化，當(dāng)審計(jì)的時(shí)候，由于用戶的IP地址不停變化，需要結(jié)合不同時(shí)間段內(nèi)用戶的IP地址情況綜合去查，查詢雖然可以實(shí)現(xiàn)，但是比較麻煩，達(dá)不到所見即所得的狀態(tài)。近幾年基于網(wǎng)絡(luò)的業(yè)務(wù)爆炸式地增長(zhǎng)，同時(shí)迎來無(wú)線網(wǎng)絡(luò)的建設(shè)的浪潮，終端位置的移動(dòng)接入成為常態(tài)，業(yè)務(wù)的靈活部署以及遷移成為剛需。以往的基于網(wǎng)絡(luò)位置進(jìn)行網(wǎng)絡(luò)規(guī)劃的方式無(wú)法滿足現(xiàn)有復(fù)雜的業(yè)務(wù)場(chǎng)景。網(wǎng)絡(luò)上承載的業(yè)務(wù)越來越多，后期會(huì)將視頻監(jiān)控、一卡通、數(shù)字廣播、車輛出入系統(tǒng)等等納入到整個(gè)網(wǎng)絡(luò)的管理范圍之內(nèi)，當(dāng)前的網(wǎng)絡(luò)規(guī)劃時(shí)按照一網(wǎng)一業(yè)務(wù)的策略去做，分別建設(shè)割裂的網(wǎng)絡(luò)，無(wú)法統(tǒng)一管理和運(yùn)維。由于無(wú)法實(shí)現(xiàn)網(wǎng)絡(luò)端到端的統(tǒng)一策略部署，使得新的業(yè)務(wù)開展和優(yōu)化比較困難。運(yùn)維管理的需求在傳統(tǒng)的網(wǎng)絡(luò)建設(shè)之后，運(yùn)維管理很容易被大家所忽視，這樣就造成了信息部門對(duì)IT物理環(huán)境及其中所有設(shè)備的運(yùn)行狀況沒有統(tǒng)一、規(guī)范的管理，無(wú)法及時(shí)清楚的掌握IT系統(tǒng)運(yùn)行狀況和設(shè)備運(yùn)行狀態(tài)，無(wú)法做到對(duì)IT系統(tǒng)狀況的統(tǒng)計(jì)和分析，不能及時(shí)發(fā)現(xiàn)潛在問題對(duì)業(yè)務(wù)系統(tǒng)的影響，維護(hù)工作基本上處于被動(dòng)的救火隊(duì)狀態(tài)，不利于知識(shí)共享和知識(shí)積累。鑒于網(wǎng)絡(luò)系統(tǒng)和業(yè)務(wù)系統(tǒng)的正常運(yùn)行對(duì)學(xué)校業(yè)務(wù)的重要意義，信息化建設(shè)同時(shí)要立足于工具層面的保障和管理手段進(jìn)行統(tǒng)一的監(jiān)控和管理。從而改變現(xiàn)有的運(yùn)維模式，結(jié)束被動(dòng)救火的運(yùn)維策略，從而對(duì)網(wǎng)絡(luò)和系統(tǒng)故障提前預(yù)知、提前防范，在故障出現(xiàn)時(shí)第一時(shí)間快速反映、迅速定位，借助技術(shù)工具和不斷提高運(yùn)維人員自身的技術(shù)能力這兩個(gè)方面相結(jié)合更好地保障網(wǎng)絡(luò)環(huán)境和業(yè)務(wù)系統(tǒng)安全、穩(wěn)定運(yùn)行。校園網(wǎng)運(yùn)營(yíng)場(chǎng)景精細(xì)化運(yùn)營(yíng)隨著信息化的發(fā)展，基于學(xué)生大數(shù)據(jù)分析、自主可控安全管理的需要，傳統(tǒng)運(yùn)營(yíng)商承建網(wǎng)絡(luò)的方式已無(wú)法滿足，更多學(xué)校希望按照自己的校園網(wǎng)建設(shè)標(biāo)準(zhǔn)建設(shè)內(nèi)部網(wǎng)絡(luò)方便統(tǒng)一管理和數(shù)據(jù)共享，但自己購(gòu)買出口大帶寬的方式又面臨著每年巨大的資金投入，面對(duì)龐大的資金缺口，以及政策不允許運(yùn)營(yíng)商在學(xué)校壟斷的要求下，更多的學(xué)校開始采用開放合作的方式，多方運(yùn)營(yíng)商通過合作與競(jìng)爭(zhēng)提供更大的帶寬和更靈活的資費(fèi)供學(xué)生自由選擇。學(xué)校：公平引入多家運(yùn)營(yíng)商；保留學(xué)校對(duì)學(xué)生的管理權(quán)，實(shí)現(xiàn)大數(shù)據(jù)分析、資源共享；學(xué)生：自主選擇出口和套餐良好的入網(wǎng)和用網(wǎng)體驗(yàn)，高效的服務(wù)；運(yùn)營(yíng)商：發(fā)展更多校園網(wǎng)用戶，保障收益通過帶寬換取更多學(xué)校資源；極簡(jiǎn)以太全光方案方案簡(jiǎn)介以太（以太協(xié)議）全光（全光纖網(wǎng)絡(luò)），即以光纖做為傳播介質(zhì)，通過光纖入室的部署方式，結(jié)合以太網(wǎng)的架構(gòu)、組網(wǎng)，所構(gòu)成的網(wǎng)絡(luò)。其特殊點(diǎn)是，將有源接入交換機(jī)從樓層弱電井釋放出來，通過光纖入室將全光接入交換機(jī)部署在每個(gè)房間里，房間的全光接入交換機(jī)與核心或者匯聚交換機(jī)全鏈路光纖部署，房間內(nèi)的新增信息點(diǎn)位可以從房間光交換機(jī)就近接入，提升擴(kuò)展效率，同時(shí)做到真正的1：1萬(wàn)兆/千兆入室。以太全光校園解決方案可以覆蓋校園網(wǎng)絡(luò)的接入層、匯聚/核心層和管理層。方案拓?fù)浣Y(jié)構(gòu)以太全光網(wǎng)架構(gòu)特點(diǎn)極簡(jiǎn)太全光網(wǎng)絡(luò)方案采用大二層結(jié)構(gòu)，是新增了SDN控制器/以太全光服務(wù)器，服務(wù)器部署在核心機(jī)房。全光網(wǎng)絡(luò)與傳統(tǒng)以太網(wǎng)絡(luò)的主要區(qū)別有三點(diǎn)：1、核心到接入層設(shè)備采用全光鏈路互聯(lián)2、接入層設(shè)備從弱電間遷移到室內(nèi)房間進(jìn)行部署3、管理運(yùn)維便捷性大幅提升，管理運(yùn)維只需要管理兩端（核心機(jī)房和末端房間），樓層弱電間采用無(wú)源透明匯聚設(shè)備，實(shí)現(xiàn)樓棟弱電間的免運(yùn)維。方案組件以太全光網(wǎng)絡(luò)方案需要部署設(shè)備如下：出口RSR77-X，核心N18K，SDN控制器，radius(SAM)，portal（eportal），核心側(cè)彩光交換機(jī)，樓棟無(wú)源透明匯聚，RIIL等。出口配置：出口采用兩臺(tái)RSR77-X出口路由器，通過HA的方式保障設(shè)備冗余，同時(shí)通過BRAC方案無(wú)需運(yùn)營(yíng)商開放對(duì)接AAA系統(tǒng)(認(rèn)證計(jì)費(fèi)授權(quán)系統(tǒng))，即可實(shí)現(xiàn)融合認(rèn)證，智慧運(yùn)營(yíng)管理。核心設(shè)備配置：核心：部署在中心機(jī)房，核心（可以是VSU）可以采取整網(wǎng)三層架構(gòu)/大二層/扁平化部署（本文采用扁平化架構(gòu)進(jìn)行描述），有線無(wú)線用戶網(wǎng)關(guān)統(tǒng)一在核心設(shè)備上，配置成網(wǎng)關(guān)模式，核心設(shè)備進(jìn)行集中認(rèn)證（包括1x認(rèn)證WEB認(rèn)證，MAB認(rèn)證）。DHCP服務(wù)器開在N18K上，有線和無(wú)線的IP地址獲取都從N18K獲取。核心匯聚設(shè)備：部署在中心機(jī)房，核心匯聚設(shè)備采用新型彩光交換機(jī)，可以依據(jù)入室房間數(shù)盒式彩光交換機(jī)或者核心交換機(jī)上插彩光交換板卡的方式，新型彩光交換機(jī)支持VSU組網(wǎng)方案，每個(gè)超聚合端口可以接入8個(gè)房間。SDN控制器/INC組件：INC組件作為組件形式部署在SDN控制器上，可以認(rèn)為極光組件為SDN控制器的一個(gè)業(yè)務(wù)模塊，用于管理零配置上線設(shè)備并下發(fā)配置模板?？刂破骺梢耘渲脴I(yè)務(wù)網(wǎng)和業(yè)務(wù)子網(wǎng)，業(yè)務(wù)子網(wǎng)屬于業(yè)務(wù)網(wǎng)。業(yè)務(wù)網(wǎng)可以是普通vlan也可以是supervlan（關(guān)聯(lián)多個(gè)subvlan，泛接入的終端必須在同一個(gè)supervlan下），業(yè)務(wù)網(wǎng)可以創(chuàng)建多個(gè)業(yè)務(wù)子網(wǎng)。匯聚設(shè)備配置：樓棟匯聚設(shè)備：采用無(wú)源透明匯聚設(shè)備部署在大樓的光纖匯聚節(jié)點(diǎn)（無(wú)源設(shè)備無(wú)需取電，也可以基于實(shí)際部署環(huán)境任意部署），透明匯聚設(shè)備支持雙鏈路上行到中心機(jī)房的彩光交換機(jī)上，實(shí)現(xiàn)鏈路的冗余設(shè)計(jì)。接入交換機(jī)配置：室內(nèi)全光交換機(jī)部署在房間內(nèi)，通過光纖互聯(lián)到全光匯聚交換機(jī)，室內(nèi)全光設(shè)備空配置接入網(wǎng)絡(luò)后，通過DHCP獲取到設(shè)備的零配置管理IP地址，并發(fā)起cwmp零配置上線請(qǐng)求，SDN控制器/極光組件服務(wù)器通過配置模板給室內(nèi)全光設(shè)備下發(fā)配置。AP配置：可以配置成分布式(推薦部署)，也可以配置成集中式或者本地轉(zhuǎn)發(fā)。AP的管理VLAN在supervlan外。AC配置：集中管理AP的配置。RADIUS和PORTAL服務(wù)器：SAM作為RADIUS服務(wù)器，ePortal做為PORTAL服務(wù)器。RADIUS服務(wù)器除了傳統(tǒng)的認(rèn)證功能外還需要將用戶的分組信息同步給N18K。RIIL一體化運(yùn)維：通過RIIL實(shí)現(xiàn)全域資源監(jiān)控和智能化運(yùn)維。主要建設(shè)性能指標(biāo)出口層建設(shè)要求穩(wěn)定性要求出口區(qū)域部署兩臺(tái)RSR77-X部署HA模式，確保出歐設(shè)備足夠的性能和設(shè)備穩(wěn)定性，單點(diǎn)故障切換及恢復(fù)用戶無(wú)感知，后續(xù)增加板卡即可提高系統(tǒng)性能和容量，保護(hù)投資設(shè)備性能指標(biāo)認(rèn)證：（所有認(rèn)證業(yè)務(wù)包括WEB認(rèn)證、MAC認(rèn)證、PPPOE認(rèn)證、BRAC認(rèn)證）：SIP5-X單卡，1W用戶（終端）整機(jī)性能：RSR77-X最多支持8張SIP5-X的線卡，在分別4張接口卡和4張業(yè)務(wù)卡的情況下可以支持160G的帶寬和4萬(wàn)在線用戶數(shù)；核心層建設(shè)要求在核心/匯聚層，提供超寬匯聚、核心100G端口轉(zhuǎn)發(fā)能力，支持有線無(wú)線的融合。在控制管理區(qū)，包含控制、分析、安全等組件，通過管控平臺(tái)可實(shí)現(xiàn)光鏈路狀態(tài)檢測(cè)、全網(wǎng)統(tǒng)一運(yùn)維、多網(wǎng)/多設(shè)備統(tǒng)一納管等。匯聚層的建設(shè)要求在每個(gè)樓棟設(shè)置1-2臺(tái)彩光交換機(jī)匯聚（盒式或框式，2臺(tái)可集群部署增強(qiáng)系統(tǒng)可靠性），從學(xué)校中心機(jī)房核心交換機(jī)到核心匯聚彩光交換機(jī)采用100G（向下兼容40G光纖鏈路互聯(lián)，也可以根據(jù)實(shí)際需要規(guī)劃25G/10G光纖鏈路互聯(lián)）光纖鏈路互聯(lián)。入室設(shè)備建設(shè)要求在多媒體教室&實(shí)訓(xùn)室&公共機(jī)房&辦公室/中大型會(huì)議室按需部署1臺(tái)或多臺(tái)千兆/萬(wàn)兆上行的多口以太光交換機(jī)（4口/8口/16口/24口/48口可靈活選擇），多口以太光交換機(jī)與樓棟以太全光匯聚采用千兆/萬(wàn)兆以太光纖互聯(lián)互通（端口獨(dú)享，上下行帶寬對(duì)稱）。多口以太光交換機(jī)支持通過下行千兆以太網(wǎng)電口連接房間內(nèi)的有線設(shè)備，通過自身的1G/2.5G/5GPOE或POE+連接需要受電的WIFI6F放裝AP/WIFI6F高密AP/POE攝像頭實(shí)現(xiàn)有線無(wú)線一體化與多業(yè)務(wù)子網(wǎng)終端融合接入部署。在領(lǐng)導(dǎo)辦公室&多人多終端辦公室/小型會(huì)議室部署帶光口（光口支持彩光模塊）上行WIFi6面板AP（本地獨(dú)立供電）與樓棟透明匯聚設(shè)備互聯(lián)互通，實(shí)現(xiàn)有線無(wú)線一體化無(wú)線覆蓋部署。在規(guī)則型集中辦公區(qū)/學(xué)生宿舍/教師單身公寓/學(xué)校下轄招待所/酒店等環(huán)境，部署支持普通光模塊的光面板AP（自帶1/4/8個(gè)千兆下行電口和2.5G上行光口）與全光的星空主機(jī)互聯(lián)互通，光面板AP支持通過本地獨(dú)立供電或光電混合纜集中供電，全光恒星主機(jī)通過自帶的上行萬(wàn)兆接口通過全光主樓棟以太全光匯聚下行光口互聯(lián)互通，實(shí)現(xiàn)有線無(wú)線一體化無(wú)線覆蓋部署。運(yùn)維環(huán)境設(shè)備要求業(yè)務(wù)及設(shè)備管理：通過軟件定義網(wǎng)絡(luò)的（SDN）控制器進(jìn)行對(duì)前端多口以太全光交換機(jī)進(jìn)行入網(wǎng)管理；通過軟件定義網(wǎng)絡(luò)的（SDN）控制器進(jìn)行對(duì)前端入網(wǎng)的啞終端進(jìn)行智能精準(zhǔn)入網(wǎng)管控；通過軟件定義網(wǎng)絡(luò)的（SDN）控制器和校園集中承載網(wǎng)關(guān)配合進(jìn)行多業(yè)務(wù)子網(wǎng)融合承載與互訪可視化控制與管理。業(yè)務(wù)監(jiān)控運(yùn)維：通過樂享IT運(yùn)維產(chǎn)品實(shí)現(xiàn)對(duì)園區(qū)網(wǎng)絡(luò)實(shí)現(xiàn)全域資源監(jiān)控，從機(jī)房動(dòng)環(huán)、網(wǎng)絡(luò)、服務(wù)器到應(yīng)用服務(wù)的全域資源監(jiān)控。對(duì)業(yè)務(wù)系統(tǒng)的監(jiān)控可以實(shí)現(xiàn)，對(duì)高校業(yè)務(wù)發(fā)生故障后可以快速定位故障是網(wǎng)絡(luò)的問題還是應(yīng)用的問題，實(shí)現(xiàn)故障的定界和定位。系統(tǒng)也集成了網(wǎng)絡(luò)配置備份、自動(dòng)化任務(wù)等運(yùn)維工具，用于提升運(yùn)維效率。同時(shí)運(yùn)營(yíng)管理構(gòu)建了面向師生用戶的服務(wù)流程，為師生用戶提供IT故障報(bào)修和IT資源申請(qǐng)服務(wù)，為管理者提供服務(wù)管理數(shù)據(jù)；極簡(jiǎn)光綜合布線設(shè)計(jì)綜合布線概要一覽表序號(hào)系統(tǒng)說明設(shè)備/線路要點(diǎn)1中心機(jī)房N/A核心交換機(jī)和傳統(tǒng)架構(gòu)一致2園區(qū)主干光纜中心機(jī)房—樓宇匯聚機(jī)房的線路主干光纖和傳統(tǒng)架構(gòu)一致3樓宇匯聚機(jī)房部署匯聚交換機(jī)和光配架透明匯聚設(shè)備透明匯聚設(shè)備光口數(shù)量=樓宇房間數(shù)量=光纖芯數(shù)。上聯(lián)的合路口支持雙鏈路上行到中心機(jī)房連接彩光交換機(jī)。4樓宇垂直子系統(tǒng)樓宇匯聚機(jī)房—樓層弱電間的布線大對(duì)數(shù)單模光纜大對(duì)數(shù)單模光纜到每個(gè)樓層弱電間5樓層弱電間樓層弱電間無(wú)需部署有源設(shè)備。如果空間局促，也可以采用壁掛機(jī)柜等方式來部署ODF架。大對(duì)數(shù)單模光纜—光配架—皮纖通過光配架，將大對(duì)數(shù)單模光纜跳轉(zhuǎn)為皮線光纖通向各房間。6樓宇水平子系統(tǒng)樓層弱電間—房間的布線皮線光纖選擇雙芯皮線光纖即可，匹配彩光模塊?？紤]到冗余和備份，實(shí)際工程中建議做適當(dāng)預(yù)留。（光混纜場(chǎng)景部署光電混合纜到房間）7房間弱電接入點(diǎn)皮線光纖布放到房間內(nèi)，可以選擇在多媒體箱落地（大房間），或者86暗盒落地（小房間）多媒體箱安裝小型化交換機(jī)或86暗盒安裝光口面板AP如果采用多媒體箱，需要增加多媒體箱到信息點(diǎn)的布線（網(wǎng)線）；如果房間內(nèi)僅2-3個(gè)信息點(diǎn)且集中在一起，則無(wú)需額外布線，直接從光口面板AP的有線口接網(wǎng)線到電腦網(wǎng)口即可水平子系統(tǒng)（房間至樓層弱電間）設(shè)計(jì)水平子系統(tǒng)部署皮纖，皮線光纜內(nèi)光纖采用G.657小彎曲半徑光纖，執(zhí)行標(biāo)準(zhǔn)：YD/T1997-2009接入網(wǎng)用碟形引入光纜。樓層所有設(shè)計(jì)光纖入室的房間均需敷設(shè)皮線光纜至樓層弱電間。皮纖建議采用2芯或4芯，實(shí)際連接入室交換機(jī)設(shè)備，其中彩光模塊需要兩芯。樓層弱電間一側(cè)皮纖端接頭宜采用LC或SC，與ODF光配架匹配。入室多媒體箱一側(cè)皮纖端接頭采用LC，與入室小型化交換機(jī)光模塊匹配。皮線光纜敷設(shè)長(zhǎng)度可以遠(yuǎn)大于90米，但水平布線（皮纖）+垂直布線（主干光纜）總長(zhǎng)度不得超過2.5公里。水平橋架部分的規(guī)格可以根據(jù)皮纖布放數(shù)量做適當(dāng)調(diào)整，轉(zhuǎn)彎半徑不宜過小。皮線光纜敷設(shè)具體設(shè)計(jì)施工標(biāo)準(zhǔn)可參考GB50311-2016綜合布線規(guī)范。布線示意圖如圖所示：水平子系統(tǒng)設(shè)計(jì)示意圖樓層弱電間設(shè)計(jì)樓層弱電間僅需部署ODF光配架即可。ODF光配架可以放置于標(biāo)準(zhǔn)落地機(jī)柜內(nèi)，如空間緊張，也可以采用壁掛式機(jī)柜或壁掛設(shè)備箱安裝。ODF光配架為無(wú)源設(shè)備，無(wú)需考慮通風(fēng)、散熱、供電等設(shè)計(jì)。為保障可靠性，ODF光配架兩端的尾纖應(yīng)當(dāng)采用熱熔。應(yīng)確保所有入室皮纖至少有兩芯和主干光纜熔接連通。垂直子系統(tǒng)（樓層弱電間至樓宇匯聚機(jī)房）設(shè)計(jì)各樓層弱電間至樓宇匯聚機(jī)房的垂直子系統(tǒng)采用大對(duì)數(shù)單模光纜。光纜光纖芯數(shù)應(yīng)當(dāng)大于該樓層皮纖數(shù)量，確保所有皮纖光路均能順利上行到匯聚機(jī)房。（如樓層房間數(shù)量15，則采用24芯光纜，如樓層房間數(shù)量37，則采用48芯光纜；如樓層房間數(shù)量85，則采用96芯光纜，以此類推）垂直子系統(tǒng)設(shè)計(jì)說明如圖所示：垂直子系統(tǒng)說明樓宇匯聚機(jī)房設(shè)計(jì)說明架構(gòu)部署設(shè)計(jì)：采用透明匯聚方案時(shí)，樓棟內(nèi)可采用1-2個(gè)機(jī)柜集中放置透明匯聚設(shè)備，采用單模光纖跳線互聯(lián)透明匯聚設(shè)備，采用雙上聯(lián)冗余設(shè)計(jì)要考慮樓棟骨干光纜的芯數(shù)冗余數(shù)量。整體部署方案如圖所示：多媒體箱安裝規(guī)范多媒體箱外觀圖光纖入室多媒體信息箱設(shè)計(jì)和安裝關(guān)鍵點(diǎn)：光纖入室多媒體信息箱分塑料外殼和金屬外殼二種，有暗裝式和明裝兩大類，其殼體務(wù)必完整無(wú)缺。對(duì)于新建項(xiàng)目，建議采用暗裝。光纖入室多媒體信息箱需具備表面散熱孔以利于設(shè)備散熱?？紤]到入室線纜的位置和管理上的方便，光纖入室多媒體信息箱一般安裝在房間入口或套間門廳等處。按照施工規(guī)范，箱體底部離地面高應(yīng)為30cm~50cm。光纖入室多媒體信息箱內(nèi)應(yīng)配套220v市電接口用于設(shè)備供電。多媒體箱安裝示意圖多媒體箱安裝示意圖房間內(nèi)布線示意室內(nèi)網(wǎng)絡(luò)布線可參考GB50311-2016綜合布線系統(tǒng)工程設(shè)計(jì)規(guī)范中的相關(guān)章節(jié)。區(qū)別是本方案室內(nèi)雙絞線的匯集點(diǎn)為室內(nèi)多媒體箱而非樓層弱電間。高密度房間下圖為室內(nèi)綜合布線示意圖，該方案適合室內(nèi)信息點(diǎn)數(shù)大于4個(gè)的房間。室內(nèi)綜合布線示意圖中低密度房間對(duì)于點(diǎn)位數(shù)較少（≤4個(gè)）且功能相同，布局臨近的房間，如診室，普通病房，連續(xù)的獨(dú)立小辦公室等，可以采用一套多媒體信息箱實(shí)現(xiàn)光纖入室部署以降低建設(shè)和維護(hù)成本。如圖所示。對(duì)于套間結(jié)構(gòu)的房間，該方法同樣適用。（具體走線可以參考住宅的布線方案）室內(nèi)綜合布線示意圖大廳場(chǎng)景針對(duì)公共大廳自助機(jī)接入等場(chǎng)景，由于無(wú)法確定最終自助機(jī)的數(shù)量和具體擺放位置，故對(duì)大廳內(nèi)各具備擺放條件的連續(xù)墻面，應(yīng)設(shè)計(jì)預(yù)留光纖面板插座和足量的電源插座。以供日后自助機(jī)安裝部署使用。高校各場(chǎng)景的網(wǎng)絡(luò)設(shè)計(jì)基礎(chǔ)承載網(wǎng)場(chǎng)景設(shè)計(jì)教學(xué)場(chǎng)景樓棟部署示意圖教室內(nèi)部署示意圖部署方式：每棟教學(xué)樓部署多臺(tái)無(wú)源的透明匯聚設(shè)備，上行雙冗余光纖鏈路到中心機(jī)房的核心匯聚彩光交換機(jī)上，下行通過萬(wàn)兆光纖到所有房間，教室/實(shí)訓(xùn)室內(nèi)部署1-2臺(tái)極簡(jiǎn)多速率交換機(jī)作為室內(nèi)交換機(jī)，連接所有IP終端，可以實(shí)現(xiàn)全校一張全光網(wǎng)，校園多業(yè)務(wù)泛載永無(wú)憂。1：1以太全光進(jìn)教室，網(wǎng)絡(luò)靈活擴(kuò)展一勞永逸，教室獨(dú)享光纖性能。方案價(jià)值：光纖入室，不占橋架空間，業(yè)務(wù)就近接入，靈活擴(kuò)展；百G到樓、萬(wàn)兆入室，1次部署，10年無(wú)憂，滿足多媒體教室、智慧教室、VR/AR教室、云實(shí)訓(xùn)室等所有類型教室對(duì)于帶寬的要求；提供8/16/24等不同端口形態(tài)的靜音交換機(jī)，且支持2.5GPOE端口，連接WIFI6設(shè)備充分發(fā)揮WIFI6性能；支持SDN管理，設(shè)備即插即用，極大減輕運(yùn)維工作量；采用成熟以太網(wǎng)協(xié)議，天然支持二層廣播和組播流量，廣播示教等業(yè)務(wù)更流暢；云機(jī)房、PC機(jī)房，鏡像下發(fā)，PXE克隆等高流量業(yè)務(wù)無(wú)帶寬瓶頸，更好支撐教學(xué)。無(wú)源匯聚設(shè)備的安裝，解決弱電間的管理維護(hù)等問題，同時(shí)實(shí)現(xiàn)核心到接入間的點(diǎn)到點(diǎn)透?jìng)?，帶寬無(wú)損，無(wú)分光。辦公場(chǎng)景部署方式：網(wǎng)絡(luò)結(jié)構(gòu)：每棟辦公樓部署多臺(tái)全光樓棟無(wú)源透明匯聚設(shè)備，通過光纖到所有辦公室；大辦公室：部署1臺(tái)極簡(jiǎn)多速率交換機(jī)連接所有IP終端，大型辦公室桌面可以部署業(yè)界首款自帶理線架的辦公桌面交換機(jī)進(jìn)行擴(kuò)展。VIP辦公室：部署1臺(tái)有線無(wú)線一體化的墻面AP，光AP采用彩光模塊；方案價(jià)值：光纖直達(dá)辦公室多速率交換機(jī)，接入終端可以彈性擴(kuò)展，避免私接亂拉；提供4/8/16/24等不同端口形態(tài)的靜音交換機(jī)，且支持2.5GPOE端口，連接WIFI6設(shè)備充分發(fā)揮WIFI6性能；支持SDN管理，設(shè)備即插即用，極大減輕運(yùn)維工作量；VIP辦公室部署墻面AP，美觀、施工簡(jiǎn)單，有線無(wú)線一體化，體驗(yàn)有保障；采用成熟以太網(wǎng)協(xié)議，打印機(jī)/文件共享等業(yè)務(wù)二層共享無(wú)障礙無(wú)源匯聚設(shè)備的安裝，解決弱電間的管理維護(hù)等問題，同時(shí)實(shí)現(xiàn)核心到接入間的點(diǎn)到點(diǎn)透?jìng)鳎瑤挓o(wú)損，無(wú)分光。宿舍場(chǎng)景無(wú)線星空方案無(wú)線星空方案的部署方式：每棟宿舍樓集中部署多臺(tái)無(wú)線恒星主機(jī)，承載120-300間宿舍無(wú)線，通過光電混合纜到所有宿舍光AP，光AP連接所有IP終端；方案價(jià)值：恒星主機(jī)管理所有光AP，做統(tǒng)一配置和優(yōu)化，無(wú)線干擾小，體驗(yàn)優(yōu)；恒星主機(jī)光電混合直通光AP，中間無(wú)需任何有源設(shè)備和機(jī)箱，AP升級(jí)直接替換即可，方便擴(kuò)展；光AP自帶1/4/8個(gè)有線網(wǎng)口，根據(jù)宿舍區(qū)域人數(shù)或有線端口需求隨需擴(kuò)展；天然以太協(xié)議族，使用POE協(xié)議和AP協(xié)商供電，獨(dú)立對(duì)AP進(jìn)行上下電管理企業(yè)級(jí)AP，認(rèn)證、網(wǎng)優(yōu)、漫游體驗(yàn)佳校園安全場(chǎng)景設(shè)計(jì)終端安全建設(shè)目標(biāo)面向物聯(lián)網(wǎng)絡(luò)設(shè)計(jì)多業(yè)務(wù)承載校園網(wǎng)建設(shè)分為有線部分建設(shè)，無(wú)線部分建設(shè)，包括物聯(lián)承載網(wǎng)建設(shè)，極簡(jiǎn)以太全光解決方案采用了物理網(wǎng)絡(luò)虛擬化的設(shè)計(jì)，學(xué)校可選擇統(tǒng)一新建一張多業(yè)務(wù)承載網(wǎng)，在這一張網(wǎng)上承載N種多業(yè)務(wù)，對(duì)于無(wú)法改造的老校區(qū)也可選擇接入、匯聚繼續(xù)利舊現(xiàn)有校園網(wǎng)及鏈路，在核心層建立獨(dú)立的物聯(lián)網(wǎng)承載網(wǎng)關(guān)，這樣既能保證快速業(yè)務(wù)開通，也能減少物聯(lián)網(wǎng)投入，同時(shí)能保證物聯(lián)網(wǎng)業(yè)務(wù)的相對(duì)獨(dú)立，和安全隔離；建設(shè)可根據(jù)資金預(yù)算分為多期或一步到位；例如第一期建設(shè)校園網(wǎng)基礎(chǔ)網(wǎng)絡(luò)核心平臺(tái)、物聯(lián)網(wǎng)核心平臺(tái)，包含物聯(lián)網(wǎng)網(wǎng)關(guān)和物聯(lián)網(wǎng)統(tǒng)一管理服務(wù)，物聯(lián)承載專網(wǎng)的鏈路和接入?yún)R聚利用校園網(wǎng)設(shè)備和鏈路；第二期，可建設(shè)專用的無(wú)線物聯(lián)網(wǎng)（例如5G、LORA）；或建設(shè)專用的物聯(lián)網(wǎng)光纖鏈路，新接入一期建設(shè)的物聯(lián)網(wǎng)核心平臺(tái)；或從規(guī)劃之初，如果經(jīng)費(fèi)足夠，建議建設(shè)兩張隔離的學(xué)習(xí)辦公校園網(wǎng)、物聯(lián)多業(yè)務(wù)承載專網(wǎng)，保障管理和安全的獨(dú)立性；所以極簡(jiǎn)以太全光方案能夠很好的滿足一張物理網(wǎng)絡(luò)承載校園網(wǎng)有線、無(wú)線、專網(wǎng)業(yè)務(wù)，亦能非常平滑的過渡到校園網(wǎng)、物聯(lián)網(wǎng)、科研網(wǎng)這樣的多網(wǎng)共存的理想規(guī)劃，整體靈活可落地。泛載網(wǎng)接入通過在物理網(wǎng)絡(luò)上虛擬不同的業(yè)務(wù)網(wǎng)方式可實(shí)現(xiàn)泛載網(wǎng)，可實(shí)現(xiàn)門禁、消防、節(jié)能平臺(tái)等各種未來物聯(lián)網(wǎng)業(yè)務(wù)的統(tǒng)一承載，不需要區(qū)分物理位置任意接入，不關(guān)心接入端口、vlan信息，通過圖形化界面實(shí)現(xiàn)三分鐘即可快速生成虛擬網(wǎng)絡(luò)，提高效率、保證安全隔離的同時(shí)，降低物理設(shè)備、鏈路的投入。終端即插即用極簡(jiǎn)以太全光通過室內(nèi)交換機(jī)標(biāo)準(zhǔn)化、模板化配置，實(shí)現(xiàn)IP及業(yè)務(wù)，不依賴于部署位置和VLAN、端口，從而實(shí)現(xiàn)終端的泛載即插即用特性；極簡(jiǎn)以太全光解決方案支持啞終端任意端口任意vlan下接入，且靜態(tài)IP地址的啞終端無(wú)需收集mac地址，終端信息自動(dòng)在SDN控制器上顯示（可查看終端上線時(shí)間、MAC地址廠商、接入位置等），在SDN控制器上進(jìn)行審批即可入網(wǎng)。SDN控制器還可以通過IP點(diǎn)陣圖的方式進(jìn)行IP地址管理，靜態(tài)IP地址資源使用一目了然?？焖賹徟踩刖W(wǎng)傳統(tǒng)網(wǎng)絡(luò)方案物聯(lián)網(wǎng)終端缺乏易用的安全管理機(jī)制，為實(shí)現(xiàn)全網(wǎng)的安全及審計(jì)，在極簡(jiǎn)以太全光解決方案中，無(wú)需手工綁定，只需要在在待審批頁(yè)面終端準(zhǔn)入管控操作，可以查看到未審批通過的終端，管理員可以手動(dòng)審批或設(shè)置自動(dòng)審批?？刂破鲗徟ㄟ^的終端，會(huì)往交換機(jī)下發(fā)靜態(tài)ARP綁定表項(xiàng)。這個(gè)時(shí)候物聯(lián)網(wǎng)終端可以上網(wǎng)，物聯(lián)網(wǎng)終端準(zhǔn)入管控入網(wǎng)成功。終端識(shí)別及分類：依靠的智能終端識(shí)別技術(shù)增強(qiáng)型指紋特征庫(kù)識(shí)別、有監(jiān)督的機(jī)器學(xué)習(xí)靜態(tài)模型、無(wú)監(jiān)督的機(jī)器學(xué)習(xí)模型能夠識(shí)別目前高教園區(qū)網(wǎng)中常見的20類物聯(lián)終端，并機(jī)器自動(dòng)學(xué)習(xí)新的終端類型，解決高教園區(qū)網(wǎng)絡(luò)中物聯(lián)終端管理盲區(qū)，來判斷終端分類、終端上線狀態(tài)，從以前被動(dòng)響應(yīng)到可以主動(dòng)發(fā)現(xiàn)問題，及時(shí)處理。業(yè)務(wù)網(wǎng)可視化安全隔離傳統(tǒng)的安全隔離需要使用命令行來進(jìn)行訪問控制列表的設(shè)置，不僅復(fù)雜且時(shí)間長(zhǎng)后難以維護(hù)，尤其是業(yè)務(wù)種類增多的時(shí)候更加復(fù)雜，添加刪除不當(dāng)還容易造成斷網(wǎng)，極簡(jiǎn)解決方案支持可視化安全業(yè)務(wù)隔離，在業(yè)務(wù)策略管理-子網(wǎng)隔離策略策略隔離矩陣，進(jìn)行某兩個(gè)業(yè)務(wù)子網(wǎng)策略選擇為禁止訪問進(jìn)行隔離。業(yè)務(wù)網(wǎng)之間的互訪業(yè)務(wù)網(wǎng)與校內(nèi)網(wǎng)、互聯(lián)網(wǎng)之間的互訪信息安全建設(shè)目標(biāo)高校信息化建設(shè)過程中信息安全越來越受到重視，隨著安全技術(shù)的不斷革新，安全運(yùn)維的挑戰(zhàn)已經(jīng)從建設(shè)轉(zhuǎn)向使用，但由于缺乏好的工具對(duì)安全日志進(jìn)行充分挖掘與利用，很難從海量的日志里獲得有用的信息，導(dǎo)致難以掌握全網(wǎng)的安全狀態(tài)，安全設(shè)備的價(jià)值并沒有被最大的發(fā)揮出來。本項(xiàng)目大數(shù)據(jù)安全管理模塊需要通過對(duì)多種設(shè)備日志的自動(dòng)化收集、標(biāo)準(zhǔn)化和關(guān)聯(lián)分析，在做到日志審計(jì)的同時(shí)，通過大數(shù)據(jù)技術(shù)降低安全運(yùn)維人員的時(shí)間成本和技術(shù)門檻，對(duì)網(wǎng)絡(luò)中存在的安全問題進(jìn)行態(tài)勢(shì)感知。總體構(gòu)建“可發(fā)現(xiàn)”、“可協(xié)同”、“可預(yù)測(cè)”、“可度量”的安全網(wǎng)絡(luò)建設(shè)體系。攻擊行為可發(fā)現(xiàn)隨著安全技術(shù)的不斷發(fā)展，安全攻擊威脅越來越向常態(tài)化、隱蔽化發(fā)展，包括0day模式的高級(jí)攻擊等，這讓用戶網(wǎng)絡(luò)安全形勢(shì)日益嚴(yán)峻，如何實(shí)現(xiàn)非法攻擊行為的及時(shí)發(fā)現(xiàn)是用戶網(wǎng)絡(luò)攻防戰(zhàn)中至關(guān)重要的一環(huán)。通過對(duì)基礎(chǔ)網(wǎng)絡(luò)、中間件、業(yè)務(wù)系統(tǒng)、終端、安全設(shè)備等多維度安全攻擊感知信息采集，結(jié)合深度分析、機(jī)器學(xué)習(xí)等關(guān)鍵技術(shù)，實(shí)現(xiàn)對(duì)用戶網(wǎng)絡(luò)中攻擊行為的及時(shí)發(fā)現(xiàn)和精準(zhǔn)定位，并通過攻擊溯源、歸并告警等多種方式進(jìn)行可視化呈現(xiàn)，讓網(wǎng)絡(luò)中的攻擊行為無(wú)處可藏安全防護(hù)可協(xié)同只依靠部署安全設(shè)備，并不等于安全，為實(shí)現(xiàn)對(duì)用戶整體網(wǎng)絡(luò)的安全防護(hù)，發(fā)揮各安全組件最佳整合協(xié)同效應(yīng)，在用戶網(wǎng)絡(luò)安全攻防戰(zhàn)中，如何實(shí)現(xiàn)“人+平臺(tái)+設(shè)備”的有機(jī)結(jié)合及高效協(xié)同，跨越安全設(shè)備到真正安全間的鴻溝，是安全防護(hù)體系建設(shè)的一大難題。本次規(guī)劃通過分析平臺(tái)與安全設(shè)備聯(lián)動(dòng)、云端智能分析協(xié)同、安全知識(shí)庫(kù)體系協(xié)助、安全專家咨詢、工單跟蹤閉環(huán)等機(jī)制，構(gòu)建“人+平臺(tái)+設(shè)備”的立體化主動(dòng)防御安全體系，幫助建設(shè)可協(xié)同的安全網(wǎng)絡(luò)，實(shí)現(xiàn)安全設(shè)備至真正安全的鴻溝跨越。威脅態(tài)勢(shì)可預(yù)測(cè)安全攻防戰(zhàn)本質(zhì)上是時(shí)間戰(zhàn)，獲得時(shí)間優(yōu)勢(shì)就掌握了安全戰(zhàn)場(chǎng)上的主動(dòng)權(quán)，如何實(shí)現(xiàn)對(duì)安全威脅態(tài)勢(shì)的提前預(yù)測(cè)，成為安全防護(hù)技術(shù)領(lǐng)域發(fā)展的新趨勢(shì)，也是下一代安全運(yùn)營(yíng)中心典型特征之一。本次規(guī)劃通過攻擊趨勢(shì)分析、業(yè)務(wù)曲線學(xué)習(xí)等機(jī)制，對(duì)未來威脅態(tài)勢(shì)進(jìn)行提前預(yù)判，同時(shí)結(jié)合預(yù)警發(fā)布、專家咨詢服務(wù)等功能及機(jī)制設(shè)計(jì)，實(shí)現(xiàn)網(wǎng)絡(luò)未來威脅態(tài)勢(shì)預(yù)測(cè)，并提供針對(duì)性安全防護(hù)解決方案。安全狀態(tài)可度量在網(wǎng)絡(luò)安全領(lǐng)域，不存在百分之百的安全，當(dāng)攻擊成本遠(yuǎn)大于利益獲取時(shí)，網(wǎng)絡(luò)安全就可以得到保障。幫助用戶找到最適合自身場(chǎng)景的安全建設(shè)方案尤其重要，但如何進(jìn)行安全狀態(tài)的量化評(píng)估一直是困擾用戶的難題，投入了大量精力對(duì)網(wǎng)絡(luò)進(jìn)行安全建設(shè)，實(shí)際的安全狀態(tài)卻無(wú)法有效衡量。本次規(guī)劃根據(jù)安全日志、漏洞、風(fēng)險(xiǎn)、脆弱性等權(quán)重綜合評(píng)判現(xiàn)網(wǎng)安全狀態(tài)，量化全網(wǎng)及業(yè)務(wù)的安全評(píng)分，并通過安全評(píng)分趨勢(shì)、告警和工單處理等趨勢(shì)圖直觀的呈現(xiàn)安全建設(shè)業(yè)績(jī)，建設(shè)可度量的安全網(wǎng)絡(luò)。信息安全建設(shè)內(nèi)容本次建設(shè)內(nèi)容包括以安全策略管理、安全組織管理、安全運(yùn)作管理和安全技術(shù)框架的中心樞紐，通過通過采集器將所有涉及全省XX信息系統(tǒng)資源的異構(gòu)日志信息統(tǒng)一收集上來，通過探針將網(wǎng)絡(luò)內(nèi)的流量信息進(jìn)行統(tǒng)一采集，經(jīng)過處理分析組件過濾掉無(wú)效的流量數(shù)據(jù)和日志，最終篩選和關(guān)聯(lián)分析出真正有效的信息安全告警，實(shí)現(xiàn)快速定位網(wǎng)絡(luò)安全問題，利用工單和安全知識(shí)庫(kù)相結(jié)合，實(shí)現(xiàn)責(zé)任到人且快速處理問題，讓網(wǎng)絡(luò)安全事件完整閉環(huán)，實(shí)現(xiàn)在網(wǎng)絡(luò)安全方面極簡(jiǎn)運(yùn)營(yíng)。同時(shí)通過自帶的漏掃引擎和配置核查系統(tǒng)制定定期安全巡檢工作（1）掌握全網(wǎng)安全信息精準(zhǔn)把握安全態(tài)勢(shì)大數(shù)據(jù)安全分析需要支持SYSLOG、WMI、FILE、SNMPtrap、DATABASE、SMB等多種日志收集的方式，同時(shí)兼容業(yè)界主流的安全設(shè)備以及網(wǎng)絡(luò)設(shè)備，將現(xiàn)網(wǎng)當(dāng)中的網(wǎng)絡(luò)設(shè)備、主機(jī)服務(wù)、安全設(shè)備、數(shù)據(jù)庫(kù)、中間件的相關(guān)日志進(jìn)行統(tǒng)一的收集，并標(biāo)準(zhǔn)化為統(tǒng)一格式建立日志數(shù)據(jù)庫(kù)倉(cāng)儲(chǔ)，并結(jié)合流量探針實(shí)現(xiàn)全網(wǎng)流量的采集，完成數(shù)據(jù)的歸并和統(tǒng)計(jì)，將當(dāng)前信息系統(tǒng)資源日志和流量數(shù)據(jù)的價(jià)值充分發(fā)揮。（2）大數(shù)據(jù)分析多維度精準(zhǔn)定核心風(fēng)險(xiǎn)信息安全系統(tǒng)建設(shè)需要支持漏洞掃描和安全配置核查，對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行全面的安全檢查，同時(shí)利用大數(shù)據(jù)分析技術(shù)，結(jié)合日志、流量、漏洞、資產(chǎn)、基線多方關(guān)聯(lián)分析技術(shù)明確真正有威脅的攻擊事件，大數(shù)據(jù)技術(shù)的日志分析和預(yù)設(shè)安全告警策略，不需要進(jìn)行多次的調(diào)試，大數(shù)據(jù)安全平臺(tái)會(huì)過濾掉無(wú)效的告警事件，在平臺(tái)首頁(yè)可以看到真正需要幫助的攻擊事件。（3）實(shí)現(xiàn)安全事件的全流程管理功能信息安全系統(tǒng)需要實(shí)現(xiàn)全流程的安全事件管理功能，通過告警事件的派單動(dòng)作，將事件轉(zhuǎn)入到具體的工單管理模塊中，并結(jié)合知識(shí)庫(kù)提供給排查人員安全事件的原理以及相應(yīng)的解決方案，結(jié)合工單管理模塊責(zé)任到人，有利于工作的開展和追蹤；同時(shí)結(jié)合工單分發(fā)到整個(gè)事件閉環(huán)處理后，對(duì)已經(jīng)修復(fù)的漏洞、應(yīng)急安全事件處理進(jìn)行成果呈現(xiàn)。系統(tǒng)自帶安全運(yùn)維知識(shí)庫(kù)，包含了安全事件、日志知識(shí)、基線、漏洞等多種安全問題的處理經(jīng)驗(yàn)，給技術(shù)人員提供安全運(yùn)維的支撐降低運(yùn)維的技術(shù)門檻。（4）全網(wǎng)安全動(dòng)態(tài)展示根據(jù)安全日志、漏洞、風(fēng)險(xiǎn)、脆弱性等權(quán)重綜合評(píng)判當(dāng)前信息系統(tǒng)安全狀態(tài)，量化為安全評(píng)分或評(píng)級(jí)，并通過安全評(píng)分或評(píng)級(jí)的趨勢(shì)、告警和工單處理等趨勢(shì)圖直觀的呈現(xiàn)信息系統(tǒng)安全保障情況，實(shí)時(shí)展示安全態(tài)勢(shì)感知和攻擊溯源。信息安全建設(shè)總體框架整體方案架構(gòu)整體方案以大數(shù)據(jù)技術(shù)架構(gòu)為核心，集安全要素獲取、分析、處理、跟蹤、預(yù)測(cè)的全流程處理，同時(shí)結(jié)合機(jī)器學(xué)習(xí)等技術(shù)，實(shí)現(xiàn)對(duì)整體網(wǎng)絡(luò)的安全態(tài)勢(shì)感知。大數(shù)據(jù)分析平臺(tái)架構(gòu)大數(shù)據(jù)安全平臺(tái)是由綜合展現(xiàn)層、業(yè)務(wù)功能層、綜合分析層、專項(xiàng)管理層、采集層以及接口等部分組成，如下圖所示。在安全管理系統(tǒng)中，主要由安全儀表板、個(gè)人工作臺(tái)、資產(chǎn)管理、風(fēng)險(xiǎn)管理、告警管理、安全事件管理、漏洞管理、安全基線管理、報(bào)表管理、知識(shí)庫(kù)管理、工單管理、系統(tǒng)管理組成。信息安全建設(shè)方案總體規(guī)劃整體大數(shù)據(jù)安全分析平臺(tái)采用ElasticSearch、hadoop等開源數(shù)據(jù)存儲(chǔ)、索引引擎，保證數(shù)據(jù)不被綁定，便于未來數(shù)據(jù)的二次應(yīng)用；采用B/S架構(gòu)，無(wú)需安裝客戶端軟件，支持全中文WEB管理界面，支持SSL加密模式訪問；支持針對(duì)網(wǎng)絡(luò)中各類安全產(chǎn)品、網(wǎng)絡(luò)設(shè)備、服務(wù)器、中間件、數(shù)據(jù)庫(kù)等產(chǎn)品進(jìn)行日志收集和標(biāo)準(zhǔn)化，并通過探針進(jìn)行流量數(shù)據(jù)采集，通過大數(shù)據(jù)綜合分析提供安全風(fēng)險(xiǎn)分析和問題定位能力。數(shù)據(jù)接入層規(guī)劃（1）日志接入規(guī)劃大數(shù)據(jù)安全平臺(tái)采用SYSLOG、WMI、FILE、SNMPtrap、DATABASE、SMB等多種日志收集的方式，同時(shí)兼容業(yè)界主流的安全設(shè)備以及網(wǎng)絡(luò)設(shè)備，將現(xiàn)網(wǎng)當(dāng)中的網(wǎng)絡(luò)設(shè)備、主機(jī)服務(wù)、安全設(shè)備、數(shù)據(jù)庫(kù)、中間件的相關(guān)日志進(jìn)行統(tǒng)一的收集，并標(biāo)準(zhǔn)化為統(tǒng)一格式建立日志數(shù)據(jù)庫(kù)倉(cāng)儲(chǔ)，完成數(shù)據(jù)的歸并和統(tǒng)計(jì)，將現(xiàn)網(wǎng)日志數(shù)據(jù)的價(jià)值充分發(fā)揮。大數(shù)據(jù)平臺(tái)通過分布式架構(gòu)進(jìn)行日志接收和分析性能分擔(dān)，采集器負(fù)責(zé)日志接收能力負(fù)載，集群節(jié)點(diǎn)負(fù)責(zé)日志分析能力負(fù)載，從而滿足大規(guī)模日志接入和分析需求。系統(tǒng)需支持支持主流廠商安全設(shè)備、服務(wù)器、網(wǎng)絡(luò)設(shè)備、中間件等設(shè)備日志自識(shí)別接入；并支持非主流設(shè)備日志的自定義接入解析。 系統(tǒng)滿足設(shè)備的信息采集要求包括但不限于：（1）安全設(shè)備：主流廠商的防火墻、IDS、IPS等設(shè)備，如啟明、綠盟、、華為、Juniper、天融信等（2）操作系統(tǒng)：Linux、Windows、Windowserver、Uinx等操作系統(tǒng)（3）數(shù)據(jù)庫(kù)：Oracle、MySQL、SQLServer等（4）應(yīng)用系統(tǒng)：如Apache、Tomcat、IIS、weblogic等（5）網(wǎng)絡(luò)設(shè)備：主流廠商的路由器、交換機(jī)、負(fù)載均衡等網(wǎng)絡(luò)設(shè)備等，如Cisco、華為、等。支持多級(jí)部署，采用日志采集器的方式，將下級(jí)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備通過日志采集器統(tǒng)一采集后傳輸?shù)饺罩緜鬏斨疗脚_(tái)，支持多個(gè)日志采集器。分布式部署的方式下，可以制定策略傳輸指定日志，減少日志量。（2）流量采集規(guī)劃通過流量探針與大數(shù)據(jù)安全態(tài)勢(shì)感知與管控平臺(tái)相結(jié)合，網(wǎng)絡(luò)流量探針采用零拷貝、全程無(wú)鎖化技術(shù)處理網(wǎng)絡(luò)流量數(shù)據(jù)包，而且充分利用CPU向量化指令對(duì)各類模式進(jìn)行識(shí)別或匹配，故即使在超大流量情況下，系統(tǒng)整體處理幾無(wú)延時(shí)。支持HTTP、TLS（含HTTPS）、SMTP、POP3、IMAP、FTP、SMB、RDP、SSH、Telnet等協(xié)議的3-7層元數(shù)據(jù)提取、存儲(chǔ)、搜索，分析，可二次挖掘可疑攻擊行為。對(duì)網(wǎng)絡(luò)中的會(huì)話正常行為模式進(jìn)行建模，分析網(wǎng)絡(luò)流量速率分布、會(huì)話趨勢(shì)、會(huì)話目的端口分布、會(huì)話協(xié)議分布、會(huì)話包數(shù)分布、會(huì)話字節(jié)數(shù)分布、會(huì)話源地址分布、會(huì)話目的地址分布、會(huì)話應(yīng)用協(xié)議分布相關(guān)統(tǒng)計(jì)情況，通過分析會(huì)話流量對(duì)于正常行為模式的偏離而識(shí)別網(wǎng)絡(luò)攻擊，隱蔽傳輸與內(nèi)網(wǎng)探測(cè)檢測(cè)等問題大數(shù)據(jù)分析層規(guī)劃大數(shù)據(jù)安全平臺(tái)自身支持漏洞掃描和安全配置核查，也可對(duì)接第三方的漏洞掃描設(shè)備，通過這兩個(gè)安全模塊將會(huì)對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行全面的安全檢查，同時(shí)利用大數(shù)據(jù)分析技術(shù)，結(jié)合日志、漏洞、資產(chǎn)、基線、流量等多方關(guān)聯(lián)分析技術(shù)明確真正有威脅的攻擊事件，大數(shù)據(jù)技術(shù)的日志分析和預(yù)設(shè)安全告警策略，不需要進(jìn)行多次的調(diào)試，大數(shù)據(jù)安全平臺(tái)會(huì)過濾掉無(wú)效的告警事件，在平臺(tái)首頁(yè)可以看到真正需要幫助的攻擊事件。本次規(guī)劃系統(tǒng)可進(jìn)行集中管理定義事件/日志/流量的過濾策略、歸并策略和關(guān)聯(lián)策略。支持對(duì)不同類型、來源于不同設(shè)備或系統(tǒng)的日志和流量進(jìn)行關(guān)聯(lián)分析，支持GUI方式的關(guān)聯(lián)規(guī)則設(shè)置功能，關(guān)聯(lián)的類型包括基于規(guī)則和基于統(tǒng)計(jì)的。支持基于因果式的狀態(tài)關(guān)聯(lián)分析。系統(tǒng)支持基于異常統(tǒng)計(jì)模型的檢查分析功能，如：識(shí)別異常的流量攻擊等。系統(tǒng)提供狀態(tài)關(guān)聯(lián)、交叉關(guān)聯(lián)、邏輯關(guān)聯(lián)等多種關(guān)聯(lián)管理，可以通過資產(chǎn)、漏洞及攻擊進(jìn)行交叉關(guān)聯(lián)，甄別定位真正對(duì)網(wǎng)絡(luò)有威脅的行為。態(tài)勢(shì)感知層規(guī)劃1、攻擊趨勢(shì)展示：結(jié)合系統(tǒng)收集到的攻擊事件信息，通過對(duì)攻擊事件來源、目標(biāo)的溯源，從整體態(tài)勢(shì)上進(jìn)行攻擊趨勢(shì)的展示，可以看到攻擊目標(biāo)主要區(qū)域，攻擊來源地。2、安全信息概況：實(shí)時(shí)展示目前系統(tǒng)收集到的日志總數(shù)、基線違規(guī)的數(shù)量（例如服務(wù)器密碼強(qiáng)度、生存周期等基線要求）、檢測(cè)到的漏洞信息、安全告警的總數(shù)等。對(duì)網(wǎng)絡(luò)安全信息情況有整體了解。3、整網(wǎng)安全評(píng)分基于對(duì)網(wǎng)絡(luò)中資產(chǎn)的重要程度、資產(chǎn)的高中低的告警情況、基線掃描的違規(guī)情況、漏洞的掃描情況，進(jìn)行加權(quán)計(jì)算，得出網(wǎng)絡(luò)綜合的安全評(píng)分，推薦的標(biāo)準(zhǔn)：分為優(yōu)良中差危，90分以上為優(yōu)，70-90為良，55-70為中，40-55為差，0-40為危。也可以根據(jù)實(shí)際的用戶安全要求標(biāo)準(zhǔn)進(jìn)行調(diào)整。4、安全評(píng)分趨勢(shì)對(duì)最近一個(gè)月的安全評(píng)分進(jìn)行趨勢(shì)圖呈現(xiàn)，可以幫助網(wǎng)絡(luò)管理者對(duì)整網(wǎng)的安全趨勢(shì)有直觀的了解，如果趨勢(shì)上升說明安全工作有成效，如果趨勢(shì)下降，則可以提前進(jìn)行安全分析及加固措施。5、存在高風(fēng)險(xiǎn)的資產(chǎn)對(duì)高級(jí)別以上風(fēng)險(xiǎn)的資產(chǎn)進(jìn)行呈現(xiàn)，提醒安全管理員重點(diǎn)關(guān)注。6、業(yè)務(wù)維度的安全評(píng)分 以業(yè)務(wù)為視角，結(jié)合業(yè)務(wù)相關(guān)的服務(wù)器、網(wǎng)絡(luò)設(shè)備等資產(chǎn)的安全告警、基線違規(guī)、漏洞情況進(jìn)行綜合計(jì)算，實(shí)現(xiàn)對(duì)業(yè)務(wù)的安全情況進(jìn)行量化評(píng)分。適用于各業(yè)務(wù)系統(tǒng)相關(guān)負(fù)責(zé)人對(duì)自己負(fù)責(zé)的業(yè)務(wù)進(jìn)行針對(duì)性安全關(guān)注。7、大數(shù)據(jù)分析TOP5告警結(jié)合告警的嚴(yán)重級(jí)別及發(fā)生的次數(shù)，對(duì)最嚴(yán)重級(jí)別的告警進(jìn)行呈現(xiàn)，可以提醒管理員進(jìn)行重點(diǎn)關(guān)注。8、用戶訪問高危端口TOP5結(jié)合審計(jì)設(shè)備會(huì)話日志、探針流量檢測(cè)數(shù)據(jù)以及認(rèn)證系統(tǒng)實(shí)名賬號(hào)信息，對(duì)用戶訪問高危端口的事件進(jìn)行統(tǒng)計(jì)，包括445、135、3389等，頻繁訪問高危端口是安全威脅事件常見的特征，提醒管理員進(jìn)行重點(diǎn)進(jìn)行關(guān)注。9、未關(guān)閉的告警根據(jù)安全告警的處理狀態(tài)，對(duì)還未閉環(huán)的告警進(jìn)行統(tǒng)計(jì)展示，包括待處理和已確認(rèn)（知曉確認(rèn)，但未處理）、已經(jīng)派單給負(fù)責(zé)人的，可以對(duì)進(jìn)行中告警重點(diǎn)呈現(xiàn)。10、全球攻擊態(tài)勢(shì)感知根據(jù)系統(tǒng)采集的攻擊信息，對(duì)攻擊來源、目標(biāo)等進(jìn)行統(tǒng)計(jì)展示，對(duì)攻擊來源國(guó)家進(jìn)行溯源，讓管理員對(duì)全網(wǎng)的攻擊態(tài)勢(shì)有全局的了解，如發(fā)生突發(fā)式攻擊形態(tài)變化，可以進(jìn)行重點(diǎn)關(guān)注。信息安全方案價(jià)值整網(wǎng)安全狀態(tài)的掌握需要結(jié)合全網(wǎng)日志+流量數(shù)據(jù)進(jìn)行綜合安全分析，從外部威脅（南向威脅）、外連威脅（北向威脅）、內(nèi)部互聯(lián)威脅（東西向威脅）、安全脆弱性、全球攻擊態(tài)勢(shì)直觀展示整網(wǎng)安全態(tài)勢(shì)，做到聰者聽于無(wú)聲，明者見于未形，全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢(shì)。簡(jiǎn)單閉環(huán)安全問題從每天數(shù)以億計(jì)的數(shù)據(jù)中準(zhǔn)確定位全網(wǎng)威脅最大、最真實(shí)的安全問題。利用基于狀態(tài)機(jī)的關(guān)聯(lián)分析、基于統(tǒng)計(jì)的機(jī)器學(xué)習(xí)、基于威脅情報(bào)的安全分析、基于機(jī)器學(xué)習(xí)和神經(jīng)網(wǎng)絡(luò)的分析算法等分析結(jié)果，以資產(chǎn)、業(yè)務(wù)等維度綜合關(guān)聯(lián)，形成完整的安全事件，并以殺傷鏈和時(shí)間軸方式直觀展示，一個(gè)頁(yè)面看清安全問題發(fā)生的過程和狀態(tài)，從而針對(duì)性的進(jìn)行安全問題處理。主動(dòng)安全防護(hù)變被動(dòng)為主動(dòng)，從已出問題（失陷態(tài)勢(shì)）、正在入侵（攻擊態(tài)勢(shì)）、已知風(fēng)險(xiǎn)（行為風(fēng)險(xiǎn)）、潛在風(fēng)險(xiǎn)（脆弱性）四個(gè)維度綜合呈現(xiàn)安全整體態(tài)勢(shì)，并層次遞進(jìn)解決目前網(wǎng)絡(luò)中國(guó)的安全風(fēng)險(xiǎn)，做到主動(dòng)防護(hù)的同時(shí)，支撐安全重點(diǎn)運(yùn)維工作出口安全建設(shè)目標(biāo)雙機(jī)熱備，更安全，易擴(kuò)展兩臺(tái)RSR77-X組HA方案，保障出口設(shè)備冗余和高可用，設(shè)備出現(xiàn)故障后實(shí)現(xiàn)秒級(jí)切換，對(duì)整個(gè)用戶上網(wǎng)體驗(yàn)無(wú)感知出口帶寬增加需要提升出口設(shè)備性能的時(shí)候，只需要增加板卡即可完成出口設(shè)備的性能擴(kuò)容，無(wú)需對(duì)整臺(tái)設(shè)備進(jìn)行替換，保護(hù)用戶已有的投資。校園運(yùn)維場(chǎng)景設(shè)計(jì)零配置，減少日常維護(hù)復(fù)雜度通過集中管理的改造，可以極大的簡(jiǎn)化校園網(wǎng)接入?yún)^(qū)域的管理和維護(hù)工作，但是將功能和策略的上收并不能完全解決入室交換機(jī)的配置工作量，主要原因如下：即使是將大部分的功能和策略上收，在入室交換機(jī)還是存在Vlan的配置和管理，由于高校規(guī)模龐大的接入設(shè)備數(shù)量，Vlan的配置和管理將帶來巨大的工作量。同時(shí)學(xué)生用戶通過各種渠道獲得了接入設(shè)備的登陸權(quán)限，有意無(wú)意的會(huì)造成接入設(shè)備的配置錯(cuò)誤甚至配置丟失，雖然不會(huì)造成免認(rèn)證和不受控上網(wǎng)，但會(huì)引起整個(gè)接入設(shè)備下的用戶無(wú)法接入網(wǎng)絡(luò)。解決這個(gè)問題需要管理員定期的修改設(shè)備管理賬號(hào)和密碼，同樣由于高校規(guī)模龐大的接入設(shè)備數(shù)量，這個(gè)工作基本上是不可能完成的任務(wù)。簡(jiǎn)化Vlan配置部署為了簡(jiǎn)化VLAN配置管理，“極簡(jiǎn)以太全光網(wǎng)絡(luò)”通過管理軟件來上收校園網(wǎng)接入設(shè)備的Vlan配置部署，其核心思路是將VLAN配置管理的操作封裝成一個(gè)配置任務(wù)。該配置任務(wù)分為四個(gè)步驟：配置前備份、配置下發(fā)、配置后比對(duì)、配置后備份。當(dāng)用戶需要對(duì)網(wǎng)絡(luò)進(jìn)行VLAN配置時(shí)只需要?jiǎng)?chuàng)建任務(wù)并執(zhí)行任務(wù)即可；入室交換機(jī)零配置入網(wǎng)和光鏈路檢測(cè)網(wǎng)絡(luò)部署中有大量的入室交換機(jī)在學(xué)校的教室和辦公室，一旦入室交換機(jī)出現(xiàn)問題，維護(hù)工作尤為復(fù)雜。通過SDN技術(shù)可以輕松實(shí)現(xiàn)設(shè)備自動(dòng)化運(yùn)維，減輕運(yùn)維人員的工作負(fù)擔(dān)。接入設(shè)備模板化，接入設(shè)備即插即用，消除人為能力因素，通過可視化提升效率，提升體驗(yàn)。接入設(shè)備模板化配置，下聯(lián)端口vlan無(wú)關(guān)避免接錯(cuò)口問題。通過自動(dòng)化運(yùn)維的解決方案做到設(shè)備0配置上線、0配置替換。改成全光網(wǎng)后當(dāng)房間數(shù)比較多的時(shí)候，光纖鏈路診斷、故障的定位修復(fù)，一直是一個(gè)大難題，耗費(fèi)的時(shí)間也很長(zhǎng)。在傳統(tǒng)網(wǎng)絡(luò)中，鏈路的診斷和定位功能不夠精確，很難達(dá)到用戶的需求，基于這些需求，在極簡(jiǎn)以太全光網(wǎng)方案中，希望把整個(gè)運(yùn)維過程做到極簡(jiǎn)，管理員只需要三步，就可以做到全流程的管控。第一步查看設(shè)備狀態(tài)：包括設(shè)備的在線狀態(tài)、連通狀態(tài)、配置狀態(tài)等；第二步查看鏈路的狀態(tài)：包括光鏈路自動(dòng)告警和檢測(cè)，以及告警原因分析和處理建議等；第三步呢，就是高階光鏈路診斷，除了確定故障源之外，我們還支持手機(jī)掃描、一鍵獲取全鏈路詳情的功能。用戶也可以靈活選擇主動(dòng)管理或被動(dòng)管理，保證客戶一人管理，整個(gè)網(wǎng)絡(luò)一鍵搞定。網(wǎng)隨人動(dòng)策略隨行無(wú)線網(wǎng)絡(luò)，物聯(lián)網(wǎng)絡(luò)業(yè)務(wù)終端快速增長(zhǎng)，終端位置的移動(dòng)接入成為常態(tài)，業(yè)務(wù)的靈活部署以及遷移成為剛需。以往的基于網(wǎng)絡(luò)位置進(jìn)行網(wǎng)絡(luò)規(guī)劃的方式無(wú)法滿足現(xiàn)有復(fù)雜的業(yè)務(wù)場(chǎng)景。極簡(jiǎn)以太全光解決方案支持終端位置移動(dòng)IP網(wǎng)段隨行，因此我們只需要將策略應(yīng)用在對(duì)應(yīng)的用戶分組或者指定ip上，這樣用戶的所有的安全策略和權(quán)限就能移動(dòng)隨行。面對(duì)海量的物聯(lián)網(wǎng)終端、打印機(jī)、移動(dòng)PC入網(wǎng)，無(wú)需更改接入設(shè)備的配置，通過SDN技術(shù)把VLAN和IP、端口解耦。通過提供業(yè)務(wù)與IP網(wǎng)段的綁定可實(shí)現(xiàn)業(yè)務(wù)快速部署。業(yè)務(wù)終端可分布在全網(wǎng)任意區(qū)域，達(dá)到了業(yè)務(wù)之間的邏輯隔離。在整體安全策略部署方面采用SDN（軟件定義網(wǎng)絡(luò)）技術(shù)，提高安全設(shè)備資源利用率，提高整體安全性能，實(shí)現(xiàn)擴(kuò)品牌跨型號(hào)安全設(shè)備冗余熱備。為更加方便部署安全策略，通過SDN實(shí)現(xiàn)用戶的IP隨行，實(shí)現(xiàn)IP即用戶，IP段即用戶組，做到用戶任意地方接入IP地址不變，由于地址不變，安全策略及權(quán)限也不用變化，做到安全策略隨行。智慧運(yùn)維管理平臺(tái)樂享運(yùn)維管理平臺(tái)的總體設(shè)計(jì)方案及系統(tǒng)功能架構(gòu)：1.總體設(shè)計(jì)框架：樂享運(yùn)維管理平臺(tái)結(jié)合當(dāng)前智能運(yùn)維的發(fā)展趨勢(shì)和的自身需求，智能運(yùn)維管理系統(tǒng)的總體功能架構(gòu)分為服務(wù)層、應(yīng)用層和觸達(dá)層三個(gè)層面，系統(tǒng)功能架構(gòu)圖如下所示：智能運(yùn)維管理系統(tǒng)功能架構(gòu)圖服務(wù)層：采用微服務(wù)架構(gòu)的設(shè)計(jì)思路，將運(yùn)維的標(biāo)準(zhǔn)服務(wù)能力下沉到平臺(tái)，平臺(tái)能力包括不限于采控、自動(dòng)發(fā)現(xiàn)、CMDB、自動(dòng)化運(yùn)維、智能算法、執(zhí)行調(diào)度、自動(dòng)執(zhí)行、權(quán)限控制等對(duì)象化的基礎(chǔ)服務(wù)，使運(yùn)維平臺(tái)具備更用戶化的適應(yīng)能力，以及與其他系統(tǒng)交互的能力。應(yīng)用層：結(jié)合用戶的需求，每種運(yùn)維場(chǎng)景通過組件化的方式進(jìn)行封裝，支持的場(chǎng)景可靈活擴(kuò)展，并通過統(tǒng)一的服務(wù)接口對(duì)外提供數(shù)據(jù)服務(wù)，構(gòu)建豐富的應(yīng)用功能，如運(yùn)營(yíng)服務(wù)、業(yè)務(wù)監(jiān)控、健康檢查、運(yùn)維工具、全域資源健康等。觸達(dá)層：提供了多種展示視圖和方式，為不同的用戶提供不同的管理視圖，包括工作門戶、大屏展示視圖、通知等。2.系統(tǒng)技術(shù)架構(gòu)：系統(tǒng)采用了Kubernetes容器和Docker的運(yùn)行架構(gòu)，可彈性使用系統(tǒng)資源。采用了混合式數(shù)據(jù)存儲(chǔ)方式，使用了Postgresql（關(guān)系型數(shù)據(jù)庫(kù)）、Clickhouse（時(shí)序數(shù)據(jù)庫(kù)）、Arangodb（圖形數(shù)據(jù)庫(kù)）、Redis（非關(guān)系類型數(shù)據(jù)庫(kù)）等多種類型數(shù)據(jù)庫(kù)，滿足對(duì)結(jié)構(gòu)化、半結(jié)構(gòu)化、非結(jié)構(gòu)化數(shù)據(jù)的存儲(chǔ)和處理要求。前端基于FusionDesign的框架，通過基于DPL模式，設(shè)計(jì)前端之間的標(biāo)準(zhǔn)協(xié)議與工作流來快速構(gòu)建符合業(yè)務(wù)訴求的DPL，提升DPL的構(gòu)建效率和應(yīng)用效率，進(jìn)而實(shí)現(xiàn)業(yè)務(wù)UI的快速構(gòu)建。同時(shí)加入了對(duì)WebGL、HTML5的支持，滿足數(shù)據(jù)多種可視化的呈現(xiàn)要求。系統(tǒng)技術(shù)架構(gòu)圖集成運(yùn)行平臺(tái)基于DevOps設(shè)計(jì)思想，實(shí)現(xiàn)系統(tǒng)的部一鍵部署、升級(jí)和可視化組件狀態(tài)運(yùn)維管理，且平臺(tái)還提供了自動(dòng)化的調(diào)度和負(fù)載分擔(dān)的機(jī)制，并可以按照需求進(jìn)行擴(kuò)容。系統(tǒng)的采集層、處理層、通訊層、展示層均以Docker容器的方式封裝隔離，通過Kubernetes進(jìn)行編排和管理，然后通過集成平臺(tái)管理界面進(jìn)行統(tǒng)一的集群安裝部署，平滑升級(jí)，并提供系統(tǒng)自檢、自愈、備份、擴(kuò)容等功能。資源層運(yùn)維平臺(tái)可以管理的所有對(duì)象，包含機(jī)房動(dòng)環(huán)、IP終端、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、無(wú)線設(shè)備、服務(wù)器、存儲(chǔ)、OS、中間件、數(shù)據(jù)庫(kù)、虛擬化、云平臺(tái)以及應(yīng)用系統(tǒng)等。采集層運(yùn)維平臺(tái)支持Agent和Agentless兩種采集方式，同時(shí)預(yù)留第三方的接口，可以對(duì)接第三方系統(tǒng)推送的數(shù)據(jù)。數(shù)據(jù)范圍包含了動(dòng)環(huán)數(shù)據(jù)、設(shè)備運(yùn)行數(shù)據(jù)、中間件/數(shù)據(jù)庫(kù)運(yùn)行數(shù)據(jù)、流量數(shù)據(jù)、關(guān)系數(shù)據(jù)、日志數(shù)據(jù)、應(yīng)用系統(tǒng)運(yùn)行數(shù)據(jù)等，結(jié)合系統(tǒng)對(duì)黃金指標(biāo)的定義，實(shí)現(xiàn)對(duì)數(shù)據(jù)的采集和分類。支持的采集協(xié)議包含了如SNMP、Telemetry(遙測(cè))、SSH/Telnet、WinRM/WMI、NetFlow、NetStream、JDBC、JMX、HTTP、SMI-S、IPMI、WebSocket、crul（仿真探測(cè)）等。處理層數(shù)據(jù)處理層只要是對(duì)采集的原始數(shù)據(jù)進(jìn)行清洗、過濾、抽取、轉(zhuǎn)換、計(jì)算等使其數(shù)據(jù)能滿足上層業(yè)務(wù)場(chǎng)景對(duì)數(shù)據(jù)的消費(fèi)。為了確保采集數(shù)據(jù)的實(shí)時(shí)入庫(kù)和高頻度實(shí)時(shí)查詢需求，滿足高可用、高并發(fā)、高性能等特性，系統(tǒng)采用了混合式的數(shù)據(jù)存儲(chǔ)方式，其中關(guān)系型數(shù)據(jù)庫(kù)Postgresql用來存儲(chǔ)系統(tǒng)的相關(guān)數(shù)據(jù)，如用戶數(shù)據(jù)、系統(tǒng)配置等數(shù)據(jù)；使用時(shí)序數(shù)據(jù)Clickhouse，用于存儲(chǔ)所有的指標(biāo)數(shù)據(jù)，以滿足系統(tǒng)對(duì)指標(biāo)的高性能查詢和數(shù)據(jù)分析；使用圖數(shù)據(jù)庫(kù)ArangoDB用來存儲(chǔ)CI之間的關(guān)系，便于對(duì)關(guān)系數(shù)據(jù)的及時(shí)更新和實(shí)時(shí)查詢；使用緩存數(shù)據(jù)庫(kù)Redis為系統(tǒng)中關(guān)鍵的功能如告警、風(fēng)險(xiǎn)檢查等關(guān)鍵功能進(jìn)行加速支持，使其能快速讀取和計(jì)算；使用kafka滿足系統(tǒng)中大規(guī)模的消息高速吞吐處理；使用Zookeeper滿足系統(tǒng)分布式集群各組件的協(xié)調(diào)處理需求。業(yè)務(wù)層系統(tǒng)的業(yè)務(wù)應(yīng)用層（APPserver或者webserver層）,該層為智能運(yùn)維平臺(tái)的“上傳下達(dá)”層，負(fù)責(zé)按照展示層的需求調(diào)用處理層接口上的數(shù)據(jù)，同時(shí)按照應(yīng)用需求對(duì)處理層提供的基礎(chǔ)數(shù)據(jù)進(jìn)行簡(jiǎn)單的再加工，如單位換算、簡(jiǎn)單的數(shù)據(jù)過濾（如隱藏特定字段、特定排序等）。通訊層通訊層為展示層以及第三方系統(tǒng)提供統(tǒng)一的接口服務(wù)。包含了為所有業(yè)務(wù)提供鑒權(quán)、認(rèn)證服務(wù)，提供了第三方的單點(diǎn)登錄接口，實(shí)現(xiàn)與第三方系統(tǒng)的登錄對(duì)接。展示層展示層為智能運(yùn)維管理平臺(tái)的集中展示門戶，是使用者可觸達(dá)的入口。主要包括了工作門戶、運(yùn)營(yíng)輔助決策、通知中心。其中工作門戶使用了UI-CBB的實(shí)現(xiàn)架構(gòu)，通過靈活的配置，讓使用者按照工作習(xí)慣實(shí)現(xiàn)自己的工作門戶。運(yùn)營(yíng)輔助決策主要使用的技術(shù)棧包括Html5、Javascript、Css、WebGL等主流的web前端技術(shù)滿足各種場(chǎng)景和應(yīng)用的需求。3.部署架構(gòu)樂享智能運(yùn)維管理系統(tǒng)采用容器化部署平臺(tái)，其中容器采用Docker引擎，容器編排采用Kubernetes來進(jìn)行管理。集群支持對(duì)微服務(wù)進(jìn)行部署、監(jiān)控、啟停。集群組最小可以支持一個(gè)Master節(jié)點(diǎn)和一個(gè)Worker節(jié)點(diǎn)，同時(shí)也可以根據(jù)監(jiān)控資源的數(shù)量或者應(yīng)用模塊的多少進(jìn)行擴(kuò)容。系統(tǒng)部署架構(gòu)圖對(duì)于多節(jié)點(diǎn)監(jiān)控或者擴(kuò)展存在分支網(wǎng)絡(luò)的情況，為了解決安全隔離或者廣域網(wǎng)傳輸?shù)龋部梢苑蛛x采控代理的方式進(jìn)行部署。如以下部署方式：分離采控代理方式部署架構(gòu)圖其中在K8S的環(huán)境中也具備采控代理的能力，在沒有分支部署需求或者采集資源不多的情況下，直接部署一個(gè)K8S的環(huán)境即可滿足對(duì)資源的自動(dòng)發(fā)現(xiàn)、采集、動(dòng)作執(zhí)行以及仿真探測(cè)等任務(wù)。4.主要技術(shù)應(yīng)用建設(shè)智能運(yùn)維管理系統(tǒng)需要借助新型的信息技術(shù)，在本次建設(shè)中我們推薦采用以下技術(shù)應(yīng)用。1、基于業(yè)務(wù)體驗(yàn)的提前預(yù)警：通過流量探針與仿真撥測(cè)設(shè)備對(duì)不同鏈路、不同業(yè)務(wù)的訪問體驗(yàn)進(jìn)行監(jiān)控，實(shí)現(xiàn)早于用戶發(fā)現(xiàn)異常。同時(shí)，為服務(wù)臺(tái)人員受理用戶的異常反饋后可以更快地識(shí)別故障區(qū)域、并更準(zhǔn)確地分配處置任務(wù)。2、根因關(guān)聯(lián)分析：通過統(tǒng)一的CMDB整合了基礎(chǔ)網(wǎng)管、準(zhǔn)入管理、流量采集分析等不同運(yùn)維系統(tǒng)的運(yùn)行數(shù)據(jù)及各CI實(shí)例之間的關(guān)系，當(dāng)某個(gè)資源發(fā)現(xiàn)告警時(shí)，可以通過系統(tǒng)內(nèi)置的關(guān)系圖自動(dòng)計(jì)算出該告警產(chǎn)生的可能原因及對(duì)哪些資源會(huì)產(chǎn)生影響，協(xié)助服務(wù)人員更快速地定位發(fā)生異常的具體區(qū)域，并為查找原因提供數(shù)據(jù)支撐；3、圖數(shù)據(jù)庫(kù)在CMDB上的應(yīng)用：為了直接的表達(dá)CI之間的關(guān)系，高效寫入大量的關(guān)系數(shù)據(jù)，提升關(guān)系的關(guān)聯(lián)查詢能力，系統(tǒng)引入圖數(shù)據(jù)庫(kù)替換傳統(tǒng)的關(guān)系型數(shù)據(jù)庫(kù)。圖數(shù)據(jù)庫(kù)在構(gòu)建關(guān)系、插入大量數(shù)據(jù)及關(guān)聯(lián)查詢都進(jìn)行針對(duì)性的優(yōu)化，比如存儲(chǔ)模型上、數(shù)據(jù)結(jié)構(gòu)、查詢算法等，防止局部數(shù)據(jù)的查詢引發(fā)全部數(shù)據(jù)的讀取。在做關(guān)聯(lián)數(shù)據(jù)查詢上，效果遠(yuǎn)好于傳統(tǒng)數(shù)據(jù)庫(kù)。同時(shí)，圖數(shù)據(jù)庫(kù)也對(duì)查詢語(yǔ)句做了專門的抽像，對(duì)于復(fù)雜查詢業(yè)務(wù)的實(shí)現(xiàn)更容易。4、引入黃金指標(biāo)，對(duì)每類資源在基礎(chǔ)