《华为:2023高品质以太全光校园网建设白皮书����(101页).pdf》由会员分享,可在线阅读,更多相关《华为:2023高品质以太全光校园网建设白皮书(101页).pdf(101页珍藏版)》请在三个皮匠报告上搜索。
1、 版权声明版权声明 本白皮书著作权属于清华大学、复旦大学、浙江大学、西安交通大学、东南大学、电子科技大学、武汉理工大学、华为技术有限公司共同所有。转载、摘编或以其他任何方式使用本白皮书的全部或部分内容的,应注明来源,违反上述声明者,著作权方将追究其相关法律责任���。编写说明编写说明 主编委员:主编委员:王雷 副主编委员:副主编委员:(按拼音排序)程剑、郭金亮、胡轶宁、姜林、李国栋、李声阳、刘为、马云龙、任立勇、孙鹏飞、王健、韦乃文、夏尊、向望、肖鹏、杨加园、袁书宏、张振博、赵祎鑫、赵泽������宇 主编单位:主编单位:清华大学 复旦大学 浙江大学 西安交通大学 东南大学 电子科技大学 武汉理工大学 华为技术
2、有限公司 参编参编单位:单位:武汉大学 华中科技大学 天津大学 南开大学 山东大学 四川大学 中山大学 中国海洋大学 厦门大学 湖南大学 兰州大学 华南理工大学 重庆大学 中央民族大学 西安电子科技大学 郑州大学 合肥工业大学 西南交通大学 重庆邮电大学 太原理工大学 中国石油大学(华东)河北工业大学 贵州大学 北京外国语大学 南昌大学 内蒙古大学 四川农业大学 广西大学 湖南省教育厅信息中心 贵州省教育厅 甘肃省教育厅 深圳大学城 参编委员:参编������委员�������:(按拼音排序)崔亚强、曹敏、陈刚、陈果、陈亮、陈玲、陈其松、陈文波、陈艳、陈哲、樊富友、冯雯、高鸿峰、谷素琴、郭涛、郭晓东、郝莉、何小波、侯德
3、俊、胡东辉、季�������飞、李大鲲、李辉、李科、李善玺、李育强、梁飞鸽、梁翔、林初建、刘建国、刘浪、刘丽、刘琳琳、刘涛、刘巍、刘昕、柳斌、吕春明、马传连、彭涛、尚华、尚雅婷、施泽全、宋海波、苏兴龙、孙涛、汤岭球、唐蓉君、唐燕梅、田爱宝、田昌鹏、田航������、童明、涂光友、屠君、王辉、王继涛、王健、卫小伟、文良海、吴春旺、谢胜军、许红宇、许卓斌、杨红波、占传杰、张建华、张明、张伟利、张永胜、张子蛟、赵进创、赵琼、赵彦灵、周海平、周静 i 前言 前言前言 本书内容本书内容 本书以高校校园网络的发展趋势和面临的挑战为切入点,详细介绍了华为高品质以太全光校园网解决方案的架构。本方案涵盖了高教网络的万兆光纤入室、极简融合
4、承载、极致体验保障、极速网络接入、极简智能运维和一体网络安全六个子方案,对六个子方案的应用场景、关键技术分别进行了介绍,并通过介绍华为高品质以太全光校园网解决方案的成功案例,向读者全面呈现华为高品质以太全光校园网解决方案在智慧高校中发挥的重要作用。读者对象读者�������对象 本书适合教育行业相关的 ICT 从业人员、教育行业投身数字化转型的参与者或决策者,以及对智慧高教网络解决方案感兴趣的读者。阅读本书需要具备以下经验和技能:一定的数据通信产品基础知识,了解 IP 网络架构等。在工作中对高教网络有诉求,具有实际网络规划设计、操作和运维经验。ii 目录 目录目录 第 1 章 校园网发展趋势.1 1.1 智
5、慧校园发展趋势.1 1.2 校园网面临的挑战.3 1.3 下一代校园网典型特征.8 第 2 章 高品质校园网关键技术.10 2.1 万兆光纤入室.10 2.2 极简融合承载.19 2.3 极速网络接入.21 2.4 极致体验保障.30 2.5 极简智能运维.34 2.6 一体网络安全.39 第 3 章 校园网典型场景网络方案.45 3.1 教室场景.45 iii 目录 3.2 办公场景.52 3.3 宿舍场景.56 第 4 章 高品质校园网产品选型.60 4.1 CloudEngine S 系列园区交换机.61 4.2 AirEngine Wi-Fi 6/7 系列 AP.7������0 4.3 iMas
6、ter NCE-Campus.74 4.4 iMaster NCE-CampusInsight.75 第 5 章 高品质校园网成功案例.76 5.1 西安交通大学-智慧学镇.76 5.2 东南大学-数智东南.79 5.3 武汉理工大学-极简宿舍接入.85 第 6 章 总结与展望.87 第 7 章 参考文献.91 1 校园网发展趋势 第第1章章 校园网发展趋势校园网发展趋势 摘要 本章主要介绍高校智慧校园的发展趋势,总结了高校数字化转型给校园网络建设带来的挑战,并给出下一代校园网的典型特征。1.1 智慧校园发展趋势智慧校�������园发展趋势“教育是国之大计、党之大计”,二十大报告对教育强国战略作出了全面系
7、统性部署,明确指出要推进教育数字化。校园数字化和智慧化建设,已成为提高教育质量、提升学校竞争力的重要抓手。高等学校的数字化转型是一项惠及教师、学生、管理者、服务者、访客和合作伙伴等全体人员,涉及教学、科研、管理和服务��������全业务流程的系统工程。随着云计算、大数据、物联网、人工智能、第五代移动通信等新技术的迅速发展和普及,智慧校园建设已迈向应用融合创新不断深化的新阶段,网上课堂、VR 沉浸式教学、智慧教室、人脸识别闸机�����、智能门锁等新型智慧应用不断涌现。2 校园网发展趋势 教学模式正在从传统教学向智慧教学演进 线上教学、沉浸式教学和智慧教室等新兴教学模式占比逐年上升。席卷全球的新冠疫情大大加速了在线学习
8、的发展,据教育部统计,仅截至 20������20 年 5 月 8 日,我国1454 所高校开展了线上教学,103 万名教师在线开设了 107 万门课程,合计 1226万门次课程,其中既包括理论课,也包括实验课,参加在线学习的大学生共计 1775万人,合计 23 亿人次1。近年来沉浸式教学在职业院校取得了长足发展,和普通高校相比,职业院校智慧教育应用场景更加丰富,智慧实训和 VR 实验教学是职业院校区别于其他高等院校的特色应用场景。在 2023 世界数字教育大会上,教育部部长怀进鹏表示,全国有近 55%的职业学校教师开展混合式教学,探索运用虚拟仿真、数字孪生等数字技术和资源创设教学场景,解决实习实训难题,
9、215 个示范性虚拟仿真实训基地培训项目分布全国2。近年来,各大院校纷纷加����速了智慧教室的建设,通过智慧教室建设,在实现录播直播、同步课堂、互动教学、多路视频流自助、声音大脑、多语种翻译等教学功能的同时,可以充分体现“以学生成长为中心”“尊师重生”等内涵理念。例如,截止到 2021 年底,浙江大学已建成 627 间智慧教室,涵盖交互研讨型教室、远程互动型教室、精品录播型教室等 6 大类型3。实验室成为高校科研工作的主阵地 高等学校实验室既承载了国家科研工作任务,也承载了学校人才培养的任务,是学校学术水平的最直接体现。为加快科技创新改革,国家加大高校实验室的建设投入。据教育部统计,近十年来,高校牵
10、头建设了 60%以上的学科类国家重����点实验室、建设了 30%的国家工程(技术)研究中心。除国家重点实验室外,学校还建有各种研究中心,以清华大学为例,截至 2023 年 4 月 23 日,学校正在运行的校级科研机构共����� 430 个4,其中政府部门批准建立的科研机构共 171 个,学校自主批准建立的科研机构共 135 个,学校以协议形式与校外独立法人单位联合建立的科研机构共 124 个。物联网和无线化正在加速高校后勤服务智慧化 以物联网和无线化为代表的数字化技术,孵化出了无人扫地车、人脸识别闸机、无人超市、无接触刷卡结账、无线资产盘点、配电无人值守等智能系统,广泛应用到学校后勤服务的餐饮、公寓、物业、
11、商超、绿化和能源管理等各个场景,大幅提升了学校后勤的便捷性、安全性和体验感,即满足了师生的个性化需求,又大幅降低了后 3 校园网发展趋势 勤服务成本。以某高校为例,全校 173 个智能门禁,可精确记录每日 20000+人次出入,10000+人次门禁刷脸,无人化值守每年节省能源费用 353 万,减少物业人员投入 54 人年,人力成本及维修费用减少 34%5。校园管理远程化和在线化成常态 我国高�������等教育正在由精英教育向大众教育转变,高校的办学规模不断扩大,伴随着招生数量、学校规模、校区数量的扩大,多校区办学成为高校中的常态。以 C9 高校为例,平均每所高校 5 个校区,校区最多的是中国科学技术大学,
12、共 10 个校区。在多校区大学的管������理过程中,利用数字化校园把空间上相互独立的各校区联结起来,采用线上办公、视频会议和直播等技术手段,使不同校区、不同管理层级的人员通过网络进行沟通和互动,可构建出统一的校园文化。以北京理工大学为例,截至 2023年 2 月底,智慧北理统一门户已上线 269 个服�������务、180 个流程,累计服务师生近 3.8万次,累计流程发起数量超 10 万次;2022 年信息中心提供视频会议技术支持的党政办等部门会议,月均超 30 场,其中 9 月开学季共支持了 8 场直播和 67 场视频会议6。1.2 校园网面临的挑战校园网面临的挑战 教育数字化和智慧教育的发展,推动了线上线下融
13、合互动,改善了教学方法,增强了教学过程的创造性、体验性及启发性,撬动了课堂教学深层次变革,以智能化支撑教育管理及评价效能。能够在个性化地学、差异化地教、科学化地评发挥独特优势,通过信息跟踪挖掘、数字回溯分析、科学监测评价,描绘学生成长轨迹,为每个学生提供个性化教育方案。但同时也带来了校园网接入终端规模急剧增长、接入及出口带宽诉求极速膨胀、校园内专网数量不断增加和新的安全风险不断涌现等一系列网络挑战。4 校园网发展趋势 挑战一:室内信息点位不断变化,带宽诉求越来越大 随着数字化转型进程的深入,校园网络所承载的数据流量特征在悄然发生变化。沉浸式教学大量使用 VR 终端,VR 的沉浸性终端拥�������有远高于
14、传统电视的视场角,为了实现与 4K 视频一样的清晰度,其分辨率、帧率、码率都必须高于 4K视频业务,对网络有着更高的带宽要求。经实测和理论分析,Cloud VR 典型业务网络指标要求如图 1-1 所示11。图1-1 Cloud VR 典型业务网络指标 智慧教室建设不断升级,设备数量不断增加�������,信息点位数量不足,网络改造费时费力。以浙江大学智慧教室建设为例,从早期的智慧教室 1.0,到智慧教室3.0,经历了电子化、在线化和智能化 3 个阶段10。这个过程中教室内先后增加了电子班牌、Wi-Fi AP、多媒体设备、物联感知终端、中控屏、高清摄像头等,室内信息点位不断增长。智慧教室 3.0 场景下,每个
15、教室内需要 8 个以上信息点位,包括 1 台教学 PC,14 个高密 AP,2 个电子白板,12 个录制摄像头,1个中控台、1 个电子班牌和其他选配终端等,其中摄像头和 AP 需要支持 PoE+供电,电子班牌需要支持 PoE���� 供电。使用传统网络建设方案,需要从弱电间到教室反复拉铜缆,建设周期长,成本高。5 校园网发展趋势 挑战二:专网数量多,重复布线成本高,业务难融合 随着高校智慧校园建设的进一步推进和深化,智能化业务系统逐渐成为高校教学科研、生活办公、校务管理的重要基础支撑手段,其规模和应用水平在一定程度上衡量着高校信息化发展的水平和能力。智能化业务系统建设覆盖了学校多个部门,涉及信息中心、
16、后勤、安防、消防、财务等多个建设主体,高校内经常出现多个专用网络。以南开大学为例,智慧校园建设过程������中,共规划了 10 多个通过专用网络支撑的智能化业务系统,包括教学科研支撑类、安全监控类、生活服务类、通道门禁类、楼宇自控类、协同办公类以及财务结算类等专网7。除了专网建设导致的重复施工,重复布线外,物联网的建设也会出现同一区域内重复建设,多头管理的现象。在智慧实验室、智慧教室和智慧������后勤等场景下,都会大量使用物联终端,物联协议七国八制,各类项目实时主体和节奏不一,导致同一站址内部署多个物联网关,各物联应用业务融合困难。如大学图书馆内,同时存在基于 RFID 的自助借还系统、基于 ZigBee 的灯
17、控系统、基于 BLE 的室内导航系统、基于 RFID 的智能门禁系统以及基于 Wi-Fi 和5G 的图书馆智能机器人系统等,同一片区域内经常部署 34 个物联网关。挑战三:移动端权限控制不灵活,物联端接入风险高 越来越多的笔记本电脑出厂时裁剪了有线网口,只具备无线接入能力。校园内的无线网络终端数����量远超有线终端数量,以清华大�����学为例,无线终端在网数量约是有线终端的 35 倍,无线全覆盖成为了基本诉求。师生可以在校内任何地方接入校园网络,接入 IP 地址不固定,传统基于 IP 地址的权限控制部署不灵活的问题就凸显出来。高校大量部署了统一身份认证系统,可以解决针对业务系统的权限控制,但对于终端不通过业
18、务系统,直接使用 IP 地址直接访问的场景,无法通过统一身份认证系统进行权限控制。高校内物联�������终端的接入数量多、类型庞杂。例如 XX 高校智能水电表达到 2000个,宿舍淋浴间一卡通终端多达 8000 个以上,还有大量的监控摄像头、智慧灯杆、校医院物联终端等等,此外物联终端的总数每年还在持续增长,使得终端管理难度指数级上升。如无线打印机终端,设备接入位置不固定,不支持 802.1X、Portal 认证,无法安装认证客户端,当前普遍基于 MAC 认证入网,存在 MAC 地址仿冒的风险。物联网设备分布范围广,使用的 IP 地址段分散,很难集中对其进行安全扫描,从而进行主动防护。采用手工部署的方式配置
19、物联网设备入网时,很难甄别出已经到 6 校园网发展趋势 期的物联网设备,并将其从系统中删除。经常导致物联网设备一次入网、长期使用,缺乏年审机制,存在安全隐患。挑战四:无线高密,接入高并发,重要业务保障难 高校阶梯教室、礼堂、体育馆、图书馆等无线高密场景多,在同一物理空间内,通常存在上百人同时接入网络。例如阶梯教室需要满足 60 人150 人的无线接入;大型�������的报告厅需要容纳 300 人以上。相比有线的点对点封闭通信,无线通信的空口是共享媒介,是一个开放的物理环境,802.11 的 MAC 层中使用载波侦听多路访问冲突避免(CSMA/CA)来控制无线终端的数据收发。此机制会导致�����接入用户数量越多,信
20、道的整体通信带宽下降的越多。但同时,礼堂、体育馆、图书馆等又是大型活动,赛事等的举办地,业务重保也是校园网络管理的重要工作内容,如教师资格考试网络保障�����、研究生/博士生入学考试网络保障、上级部门的视频会议保障、高考阅卷网络保障、开学/毕业典礼网络保障等。重保场景下,如何识别 VIP 的关键业务,降低非保障业务对 VIP 用户无线业务的影响,是当前信息中心面临的非常棘手的问题。挑战五:校园网规模大,运维手段落后“三分建设,七分运维”,高校网络运维工作在信息中心整体工作������中占有非常重要的地位。面对规模不断膨胀的校园网络,信息中心运维团队规模变化不大,高校网络的运维压力越来越大。信息化人力投入方面,国内
21、高校师生平均每万人配备全职信息化工作人员数量为 11 人,美国为 66 人,中美人员投入差距很大9。具体到单个高校,以北京大学为例,截止到 2020 年 12 月,全校有线交换机数量超 5,000 台,无线 AP 数量为 1.97 万台,信息点位 13 万个,联网楼宇 367 栋8,上网终端 10.9 万台,其中无线终端 9.1 万台8;相比 2001 年 10 月,全校网络信息点仅 6300 个,信息点�������位规模扩大 20 倍,但整个运维团队不到 20 个人,和 2001 年相比没有大规模增长。运维团队内部又分为热线电话、现场处理、线路故障和后台支持等 6 个功能团队,每个子团队平均仅 23 人
22、。我国高校的网络运维还是以故障驱动为主的被动式运维,������在运营商网络中规模部署的主动式、预测式运维尚未普及。据华为公司不完全统计,全国普通高校 SDN 部署率不足 30%,高职类院校部署率更低。运维工具以传统网管为主,基于 SNMP 协议进行网络部署和告警接收,仅支持分钟级数据采集,只能感知端口级流量状态,针对由网络突发、无线空口干扰导致的丢包、视频会议卡顿等问题缺乏有效技术手段。7 校园网发展趋势 以武汉理工大学为例,学校大礼堂可同时容纳 800 人,会议期间峰值无线并发用户超 400 人,在线应用实例超 1000 个,如何及时准确感知每个应用的状态,对校园网运维形成了巨大挑战。挑战六:网络安全
23、风险高 随着教育信息化的快速发展和疫情的影响,高校教育信息化进程不断加快,从最早的幻灯片教学到电视投影,再到网络教学和远程教学。信息技术的引入大大提升了教学质量,但同时这些大量增加的信息化资产也带来了诸多安全问题。新冠疫����情以来,各国经济发展都受到影响,小国破产&俄乌战争也让国际局势变得愈发胶着,网络安全领域也处于风雨飘摇之中。根据 Check Point 的安全报告显示,2021 年全球各地企业与机构遭到的网络攻击较 2020 年平均增长 50%,而教育和研究部门则成为重灾区,�����平均每周遭受 1,605 次攻击。我国高校信息系统大多都是由第三方软件公司开发,其供应链环节复杂、结构复杂,容易受到来
24、自供应链各个节点和流通过程中各个环节的安全威胁。2021 年年初的 SolarWinds,4 月的 Codecov、7 月的 Kaseya 以及年终的 Log4j 漏洞,一系列的开源库漏洞的恶劣影响揭示了软件供应链固有的重大风险。与其他����行业专门设立网络安全部�������门的情况不同,大部分高校均将时间精力倾注于教育教学,使得网络安全人才和能力稀缺,一些高校甚至是由信息老师兼任其网络安全管理人员。而在各类安全风险的发生及国家对于高校网络安全稳定的要求下,如何提升安全防护能力已成为高校不得不直面并解决的问题。8 校园网发展趋势 1.3 下一代校园网典型特征下一代校园网典型特征 应对上述校园网建设中的各种挑战,
25、我们认为,下一代校园网建设方向是高品质以太全光网络,校园网应具备如下典型特征:万兆光纤�������入室 通过光纤入室,室内部署可扩展万兆上行网络接入单元,彻底解决室内有线无线带宽不足,解决室内信息点位难扩展,解决传统铜缆传输性能弱、故障率高、布线复杂等问题。实现一次布线,十年线路不改造,实现网络接入单元免配置免规划,上电即上线。极简融合承载 基于 VXLAN 技术构建的 SDN 虚拟化网络技术,提供虚拟专网承载方案,实现虚拟网络快速开通、虚拟网络间按需隔离和互通,降低物理专网建设的成本和运维复杂度。基于随板 AC 技术,提供有线无线网络深度融合,在承载层面提供一体化的可靠性。基于物联插卡技术,实现物联网关
26、和 Wi-Fi AP 的融合,消除物联网重复布线,同站址部署多台实体物联网关问题。极速网络接��������入 基于 IP 双栈技术、业务随行技术、终端指纹库技术和防私接技术,构建 20W 以上双栈用户的管理能力、提供统�������一认证、差异化计费和用户策略管理等能力,实现终端设备极简安全入网,保障用户任意位置、任意方式接入策略一致。极致体验保障 基于随流检测、应用识别和网络切片等技术,识别音视频业务等,针对无线空口侧,有线传输侧、网络出口侧提供端到端应用可视和保障,实现重要业务不丢包、视频会议零卡顿的极致网络体验保障。9 校园网发展趋势 极简智能运维 基于 Telemetry 秒级采集技术、大数据和 AI 分析技术等
27、,构建智能运维能力,提供无线射频调优、应用及业务可视、预测性维护等关键能力,大幅提升网络运维水平,大幅消减信息中心网络运维压力。一体网络安全 基于安全态势感知、网安联动技术,构建校园网络威胁自动检测、近源阻断以及安全事件闭环处置能力,实现全网一体化安全,网络安全主动防御。10 高品质校园网关键技术 第第2章章 高品质校园网关键技术高品质校园网关键技术 摘要 本章主要介绍高品质以太全光校园网建设的6大关键技术,介绍了每个关键技术的技术原理、部署建议和实现效果。2.1 万兆光纤入室万兆光纤入室 该章节将介绍高校万兆光纤入室方案中包������含的超宽组网、光电 PoE、极简架构、RTU、超宽 Wi-Fi 等关
28、键技术。超宽组网 高校园区网络拓扑包含核心层、汇聚层、接入层,实现核心全 100G 互联,100GE 到楼栋或楼层,10/25GE 光纤入室,1/2.5GE 到桌面。核心层宜部署两台高性能框式交换机,连接校园所有的汇聚交换机,承载园区教学办公、学生宿舍、家属、实验室、企业等所����有业务流量。核心层宜采用全连接树型 11 高品质校园网关键技术 结构,应具有高带宽、高转发、高可靠等能力,核心交换机需提供高密 100GE 端口,同时宜具备演进到 400GE 端口的能力。汇聚层通常是一个学院、一幢教学楼或一幢学生宿舍的部署一对汇聚设备,汇聚层设备汇聚本区域流量并转发到核心层或本区域其它接入设备。汇聚层需具
29、备高带宽、高转发、高可靠能力,汇聚交换机上行需支持 100GE,汇聚下行需支持高密10/25GE 端口。同时为了满足接入设备(接入交换机或 AP)无法近距离取电需求,汇聚交换机宜支持光电 PoE 能力,以实现 300 米以上远距离 PoE+供电功能。接�����入层是最靠近终端的网络区域,为终端提供各种接入方式,是终端接入网络的第一层,高校园区网的接入层包含接入交换机、AP、远端模块设备。接入交换机宜采用 10/25GE 双规互联汇聚交换机,远端模块宜采用 10GE 双规互联汇聚中心交换机;近距离取电场景,AP 通过网线 2.5/10GE 互联接入交换机,远距离取电场景,AP 通过光电混合缆 10GE
30、互联汇聚交换机。图2-1 高校园区网络拓扑图 12 高品质校园网关键技术 近距离取电,终端或接入设备可在 100 米范围内通过网线或电源适配获取电源;远距离取电,终端或接入设备无法通过网线或电源适配器在 100 米范围内获得电源,对于部分业务需满足“断电不断网”要求,也适用�����于远距离集中供电。为了降低客户一次性硬件投资成本,可采用 RTU(Right to Use)技术方案用于硬件能力的授权使用,RTU License 是资����源型 License 的一种,也叫硬件资源License,RTU License 可应用于如表 2-1 所示的场景。表2-1 RTU License 常用场景 License
31、������ 场景场景 说明说明 40GE 接口升级到 100GE 接口授权 核心交换机接口升级,40GE 演进 100GE 将接口默认速率从 40Gbit/s 升级到100Gbit/s GE 接口升级到 2.5GE 接口授权 接入交换机接口升级,GE 演进到 2.5GE 将 接 口 的 速 率 从 1Gbit/s 升 级 到2.5Gbit/s GE 接口升级到 5GE 接口授权 接入交换机接口升级,GE 演进到 5GE 将 接 口 的 速 率 从 1Gbit/s 升 级 到5Gbit/s GE 接������口升级到 10GE 接口授权 接入交换机接口升级,GE 演进到 10GE 将 接 口 的 速 率 从 1Gb
32、it/s 升 级 到10Gbit/s 2.5GE 接口升级到 5GE 接口授权 接入交换机接口升级,2.5GE演进到 5GE 将 接 口的 速率 从 2.5Gbit/s������ 升 级到5Gbit/s 2.5GE 接口升级到 10GE 接口授权 接入交换机接口升级,2.5GE演进到 10GE 将 接 口的 速率 从 2.5Gbit/s 升 级到10Gbit/s 5GE 接口升级到 10GE 接口授权 接入交换机接口升级,5GE 演进到 10GE 将 接 口 的 速 率 从 5Gbit/s 升 级 到10Gbit/s 2.4GHz+5GHz 双频模式升级 到2.4GHz+5GHz+5GHz三射频模式 A
33、P 的射频模式由双射频升级到三射频 例如将 2.4GHz(4)+5GHz(6)升级到 2.4GHz(4)+5GHz(4)+5GHz(4)2.4GHz(X1)+5GHz(Y1)空间流升级到 2.4GHz(X2)+5GHz(Y2)AP 空间流扩充 例如将 2.4GHz(2)+5GHz(4)空间流升级到 2.4GHz(4)+5GHz(4)13 高品质校园网关键技术 光电 PoE 传统 PoE(Power over Ethernet�����,以太网供电)通过网线以太链路供电,随着业务带宽不断提高,以太线缆的代际更换也被迫加快,施工布线和购买线缆的成本较高。网线 PoE 技术最长供电距离不超过 100 米,高校
34、部分场景供电距离已超过 100米。光电 PoE 是创新特性,通过光电协同技术配套光电混合缆实现超远距 PoE+,让接入设备(远端模块/AP)的部署变得更为灵活,彻底摆脱本地取电难题,让网络真正具备平滑提速演进能力。光电混合缆应用示意图如图 2-2 所示。光电混合缆通过光纤介质完成数据传输。基于当前光介质的带宽支持能力,布线后 1015 年无需更换,节省重布线成本。创新性光电模块支持 2000 米的 PoE 供电能力,供电距离远,输出功率高。光电混合缆支持标准 PoE 供电,支持弱电�������施工,易于安装交付。图2-2 光电混合缆应用示意图 14 高品质校园网关键技术 极简架构 光纤入室导致末端部署海量
35、接入设备,网络管理运维难度大幅增加,通过极简架构技术可实现汇聚中心交换机集中管理末端远端模块设备,末端远端模块设备可实现免配置、免运维,网络管理运维人员只看到核心层、汇聚层两个层次。极简架构方案关键组件包含中心交换机,以及分布在信息点的远端模块。中心交换机(CS,Central Switch)是具备纳管远端模块能力的交换机,负责管理远端模块并做流量的集中转发,提供远端模块信息查询、配置下发������等功能。远端模块(RU,Remote Unit)挂接在中心交换机下行端口,是中心交换机的端口扩展。支持通过电源适配器进行供电,或通过中心交换机的 PoE 进行供电。远端模块具备 PoE 供电的能力,支持挂墙、
36、墙面管道、桌面多种安装模式。无管理交换机的改进,相对于普通无管理交换机,远端模块可通过中心交换机支持可视化运维、集中固件升级、业务配置。互联口是中心交换机上与远端模块对接的接口,可以是物理接口,可以是 Eth-Trunk 接口。极简架构组网包含核心交换机、中心交换机、远端模块交换机,如图 2-3 所示,组网支持两种组网架构。图2-3 极简架构组网图 部署极简架构方案可为客户带来如下特色价值体验:远端模块仅部署轻量化固件,实现快速启动性能;15 高品质校园网关键技术����� 远端模块免配置即插即用,对远端模块的管理仅可以在中心交换机上通过互联口给远端模块下发配置进行管理;远端模块可支持光电 PoE 技术
37、远距 PoE+取电,同时通过网线向终端二次PoE+供电;中心交换机对远端模块进行集中运维,支持远端模块的端口状态、端口统计、PoE 电源、光模块数据查询。Wi-Fi 6 随着视频会议、无线互动 VR、移动教学等业务应用越来越丰富,Wi-Fi 接入终端越来越多,IoT 的发展更是带来了更多的移动终端接入无线网络,因此 Wi-Fi 网络仍需要不断提����升速度,同时还需要考虑是否能接入更多的终端,适应不断扩大的客户端设备数量以及不同应用的用户体验需求。因此 Wi-Fi 技术需要解决更多终端的接入导致整个 Wi-Fi 网络效率降低的问题。2019 年,IEEE 802.11ax 标准被正式推出,即Wi-F
38、i 6 标准,是继 Wi-Fi 5(802.11ac)之后的最新一代 Wi-Fi 标准。在 Wi-Fi 6 发布之前,Wi-Fi 标准是通过从 802.11b 到 802.11ac 的版本号来标识的。随着 Wi-Fi 标准的演进,Wi-Fi 联盟为了便于 Wi-Fi 用户和设备厂商轻松了解 Wi-Fi 标准,选择使用数字序号来对 Wi-����Fi 重新命名。Wi-Fi 6 标准引入了上行 MU-MIMO、OFDMA 频分复用、1024-QAM 高阶编码等技术,������将从频谱资源利用、多用户接入等方面解决网络容量和传输效率问题。目标是在密集用户环境中将用户的平均吞吐量相比 Wi-Fi 5 提高至少 4 倍,
39、并发用户数提升 3 倍以上,并且时延更低、更节能。Wi-Fi 6 作 Wi-Fi 5 的继任者,相比 Wi-Fi 5���� 不仅仅体现在速率的提升上,更主要体现在高密场景下的用户体验性能提升。Wi-Fi6 技术是当前的主流无线标准,解决了传统 Wi-Fi 实际体验差的问题,尤其是在教室、礼堂等高密场景,也为低时延的无线诉求例如 VR 教学、实验等打下基础。Wi-Fi6 具备的特点如图 2-4 所示。16 高品质校园网关键技术 图2-4 Wi-Fi 6 的特点 大带宽大带宽 过去每一代 Wi-Fi 的标准,一直致力于提升速������率。经过 20 多年的发展,Wi-Fi 6在 160MHz 信道宽度下,理论最大
40、速率已经达到 9.6Gbps,是 802.11b 的近 900倍。低时延低时延 在低时延场景,例如 VR/AR 互动教学和实验、沉浸式会议、高清无线投屏等,Wi-Fi 5 的时延已经无法满足需求,而 Wi-Fi 6 在提升频谱利用率的同时还减少了同频干扰,可以满足教学中工业控制、数据采集等典型业务的低时延要求。高并发高并发 Wi-Fi 6 引入了一系列全新的多用户技术,进一步提升了频谱利用率,使得 Wi-Fi 6 相比于 Wi-Fi 5,并发用户数提升了 4 倍。低耗电低耗电 随着 IoT 设备广泛应用,除了提升终端速率外,Wi-Fi 6 更是关注了终端的耗电情况。在�����节能新技术,如按需唤醒终端
4����1、 Wi-Fi 等功能的加持下,可使终端的功耗降低 30%。Wi-Fi 6 设计之初就是为了适用于高密度无线接入和高容量无线业务,比如室外大型公共场所、高密场馆、室内高密无线办公、电子教室�������等场景。在这些场景中,接入 Wi-Fi 网络的客户端设备将呈现巨大增长,另外,还在不断增加的语音及视频流量也对 Wi-Fi 网络带来调整。如 4K 视频流(每个人带宽要求 30 Mbit/s)、语音流(时 17 高品质校园网关键技术 延小于 30 ms)、VR 流(每个人带宽要求 50 Mbit/s,时延小于 15 ms)对带宽和时延是十分敏感的,如果网络拥塞或重传导致传输延时,将对用户体验带来较大影响。而现有
42、的 Wi-Fi 5 网络虽然也能提供大带宽能力,但是随着接入密�������度的不断上升,吞吐量性能遇到瓶颈。而 Wi-Fi 6 网络通过 OFDMA、UL MU-MIMO、1024-QAM 等技术使这些服务比以前更可靠,不但支持接入更多的用户终端,同时还能均衡每用户带宽。Wi-Fi 6 AP 同时还会支持 IoT 设备的接入,这些额外增加的功能和设备将不可避免的要求 Wi-Fi 6 AP 提供更大的功耗。标准的 IEEE 802.11af PoE 肯定是不够的,Wi-Fi 6 AP 需要标配 IEEE 802.11at PoE+或者 PoE+能力。因此,在未来网络中不可避免的要考虑上行 PoE 供电的问题
43、,升级接入层 PoE 交换机。另外,最低性能的2x2 MU-MIMO Wi-Fi 6 AP 的空口吞吐量就快达到 2 Gbit/s 了,对上行交换机的网络容量也大大增加�������,至少需要部署同时满足 2.5 Gbit/s 和 5 Gbit/s 的上行多速率以太端口,甚至支持上行 10 Gbit/s 的多速率以太端口的需求也会趋于正常。Wi-Fi 7 随着 WLAN 技术的普及,Wi-Fi 接入成了主要的接入方式。大量的 Wi-Fi 终端接入,对 Wi-Fi 网络的承载能力提出了很大的挑战,传统的频谱资源就会显得异常拥挤(Wi-Fi 6 以前只支持 2.4GHz 和 5GHz 两个频段)。同时,随着 W
44、i-Fi 网络吞吐量的提升,视频通话、音视频会议等音视频业务便逐步成为了 WLAN 网络上承载的主要业务类型。随着 4k/8k 视频的出现,视频传输的吞吐量需求将持续增长到 20Gbps;同时其他新的高吞吐量、低时延的视频应用也快速的出现,包括学校内的 AR/VR 应用、在线游戏(时延要小于 5ms)等,这些应用对网络的带宽和时延提出了更高的要求。而 Wi-Fi 6 协议更多聚焦的是解决高密场景下网络的整体性能以及用户接入和体验的问题,上述应用对网络超高带宽和超低时延的诉求,已经超出了 Wi-Fi 6 的能力范围。IEEE 8�����02.11 标准组织在 2019 年 5 月成立了�� 802.11be
45、 ETH(Extremely High Thr��������oughput,极高吞吐量)工作组,按照 Wi-Fi 联盟对 Wi-Fi 协议代际的定义,它将命名为 Wi-Fi 7。Wi-Fi 7 协议的目标是将 WLAN 网络的吞吐率提升到 30Gbps,并且提供低时延的接入保障。为了满足这个目标,相对比与 Wi-Fi 6 协议,Wi-Fi 7 协议带来的主要������技术变革点如下:18 高品质校园网关键技术 1.引入新的引入新的 6GHz 频段,带来更大的频宽和更小的干扰频段,带来更大的频宽和更小的干扰 Wi-Fi 6 及之前标准仅支持使用 2.4GHz 和 5GHz 两个频段,Wi-Fi 6E 标准将6GHz 频
46、段引入 WLAN 系统中,给 WLAN 网络带来了更多的频谱资源。而 Wi-Fi 7将继续引入 6GHz 这个新频段,并且努力达成同时使用三个频段进行通信的目标,以获得更大的通信带宽来增加自己的速率。2.���支持支持 Multi-RU 机制机制 在 Wi-Fi 6 协议中,每个用户只能分配到特定的 RU 上发送或接收数据帧,这极大地限制了频谱资源调度的灵活性。为解决该问题,进一步提升频谱效率,在 Wi-Fi 7 中定义的新的 RU 分配方案将允许将多个连续和非连续的 RU 分配给单个终端。3.引入更高阶的引入更高阶的 4096-QAM 调制技术调制技术 在 Wi-Fi 6 协议中,标准使用的是 1
�������47、024-QAM 调制,每个符号位传输 10bit 有效数据(210=1024)。而为了获取更高的传输效率,Wi-Fi 7 将继续升级调制方式,直接使用 4096-QAM,一个符号位将能够写到 12bit 的有效数据(212=4096)。因此在相同的编码率的前提下,调制技术带来约 20%的传输效率提升。4.支持更多的数据流,支持更多的数据流,MIMO 功能增强功能增强 Wi-Fi 5 系统中最多支持 8 条数据流,而它当时的一大改进就是引入了 DL MU-MIMO,让 AP 可以同时使用多条数据流与多个设备进行通信。Wi-Fi6 系统中的空间流没有增加,但是引入了 UL MU-MIMO,使得多用
48、户上行传输的�����效率得到了提升。到了 Wi-Fi 7 系统,设备支持的空间流达到总计 16 条数据流,理论上可以将物理传输速率提升两倍以上。支持更多的数据流也将会带来更强大的特性分布式MIMO,意��������为 16 条数据流可以不由一个接入点提供,而是由多个接入点同时提供,这意味着多个 AP 之间需要相互协同进行工作。5.支持多支持多 AP 间的协同调度间的协同调度 目前在 802.11 的协议框架内,AP 之间实际上是没有太多协作的关系。自动调优、智能漫游等常见的 WLAN 功能都属于厂商自定义的特性。AP 间协作的目的也仅是优化信道选择,调整 AP 间负载等,以实现射频资源高效利用、均衡分配的目的。Wi
49、-Fi7 中的多 AP 协同,包括小区间的在时域和频域的协调规划,小区间的干扰协调,以及分布式 MIMO(可以由多个不同的 AP 针对于同一个 STA 来提供 MIMO 的传输),可以有效降低 AP 之间的干扰,极大的提升空口资源的利用率。19 高品质校园网关键技术 随着 Wi-Fi 7 AP 的极限吞吐率提升到 30Gbps,它对园区接入交换机以及 AP 和交换机之间的连接线缆均有了更高的要求。首先,Wi-�����Fi 6 AP 对多速率交换机的端口速率需求普遍提升至 2.5G/5G,对于 Wi-Fi 7 AP 来讲,这个多速率以太口已经不能满足诉求,需要通过光口实现更高速率的承载。其次,接入交换机
50、需要对 AP 进行供电,而且需要 PoE+(60w)级别的供电功率,所以需要光电复合缆作为 AP 和交换机之间的承载主体。无线容量的增长,也必将驱动园区网络整体容量的扩容,提供高带宽的通道及精细化的管理,打造一个高品质的园区网络。2.2 极简融合承载极简融合承载 网络虚拟化技术 在园区网络中使用 VXLAN 实现“一网多用”,VXLAN 是 RFC 定义的 VLAN 扩展方案,MAC in UD��������P(User Datagram Protocol)封装方式,是一种网络虚拟化技术。图2-5 VX�����LAN 实现“一网多用”20 高品质校园网关键技术 通过引入虚拟化技术,在校园网络中基于一张物理网络创建多
51、张虚拟网络(VN,Virtual Network)。不同的虚拟网络可应用于不同的业务,例如教学、实验或物联网等,不同的虚拟网络也可应用于不同的院系,例如通信工程学院、电子工程学院、计算机科学与技术学院、物理与光电工程学院等。通过 iMaster NCE-Campus 实现全网设备集中管理,管理员通过图形化界面实现网络配置。通过 iMaster NCE-Campus 可以将管理员的网络业务配置意图“翻译”成设备命令,通过 NETCONF 协议将配置下发到各台设备,实现网络的自动驾驶�������。物联感知技术 在园区网络中使用物联感知技术实现物联终端“一网承载”�����,物联终端全连接,端网协同。图2-6 物联终端全
52、连接 21 高品质校园网关键技术 IP 化有线融合接入化有线融合接入 物联接入设备除了支持以太型物联终端的可靠接入外,还通过扩展 RS485、IO等物联接口来满足非以太型物联终端的可靠接入需求,将物联终端数据透传到物联网关,可以通过 CoEth 技术,实现对不同非 IP 化终端的识别和接入。Wi-Fi 6 �����无线融合接入无线融合接入 基于最新的 Wi-Fi 6 连续组网技术,为园区内各类物联终端提供 1000Mbps 以内较大带宽的无线网络接入������能力,同时 Wi-Fi 6 也极大提高了 Wi-Fi 网络的接入容量,满足海量 Wi-Fi 终端的联接需求。对于短距离无线通信,需要提供 Wi-Fi、RF
53、ID(Radio Frequency Identification�������,射频识别)、UWB(Ultra Wide Band,超带宽)、BLE(Bluetooth Low Energy,蓝牙低功耗)等多种无线协议融合接入的网络,实现无线接入基站 All-in-One,降低部署复杂度,通过干扰避让技术实现各个射频之间干扰最小,通信质量最优,达到多种无线可靠共存。边缘智能边缘智能 基于网算合一的边缘物联网关和内置的分布式数据总线,来实现同网关下挂的多终端互联互通、不同分布式网关之间的互联互通。同时网关支持 OHOS(O�����pen Harmony OS,开源鸿蒙操作系统),可实现与鸿蒙终端的互联互通。2.3
54、极速网络接入极速网络接入 校园网络建设过程中,需要实现极速的人联物联接入。该章节将从师生员工极速接入、物联终端极速接入、IPv6 接入三个方面介绍对应的关键技术。师生极速接入 校园中往往会划分不同用户群,实现基于用户角色和终端类型的精细化管控,保证外部用户无法访问内部资������源,在校人员按需授予不同访问权限。华为高品质以太全光校园网解决方案应用业务随行技术和 Boarding 方案保障师生员工极简快速入网,智能感知师生身份、接入位置、终端类型等信息,进行精细化管控,并提供定制化网络服务。22 高品质校园网关键技术 业务随行保障用户任意位置有线/无线接入策略一致。支持灵活的组策略,通过动态用户组、静态
55、资源组、应用(域名)灵活定制组,按需实现组间访问策略;通过 IP-Group 同步,核心交换机统一执行业务随行策略,实现全网有线/无线策略统一。交互流程如图 2-7 所示。图2-7 业务����随行交互流程图 23 高品质校园网关键技术 Boarding 方案可实现一键配置 Wi-Fi 接入,自动下载证书,自动连接无线SSID,解决用户使用 802.1X 接入网络�������配置复杂问题。可支持 iOS、Android、Windows 无线终端和 Windows 有线终端接入。针对 Android 和 Windows 终端提供网络配置工具、针对 iOS 终端提供配置文件,通过网络配置工具或配置文件自动完成终端 8
56、02.1X 接入参数的配置。交互流程如图 2-8 所示。图2-8 Boarding 一键配置 Wi-Fi 接入流程图 24 高品质校园网关键技术 物联终端极速接入 当前校园网中终端数量激增,一个大学本科校园存在数千终端的量级,为了提升建网效率,需������要实现海量终端的极简安全入网。华为高品质以太全光校园网络解决方案����应用终端识别、iConnect 和防私接技术,实现终端设备极简安全入网。终端类型识别基于业内最全指纹库,自带 14.5K 终端识别能力,33K 终端指纹库,通过上报和扫描全方位的终端指纹提取技术,以及交换机内置探针技术,实现接入内部网络的终端类型免配置精准识别,实现基于用户、设备类型、接入
57、时间、接入地点�������和设备环境的自动认证和授权,自动实现精细化管控。图2-9 终端识别交互流程图 25 高品质校园网关键技术 iConnect 创新协议可以实现终端零配置接入 Wi-Fi 网络,终端零配置获取802.1X 证书认证。通过创建一个带有 iConnect 标识的 SSID,iCo���nnect 终端自动关联该 SSID,实现终端的即插即用。另外,iConnect 终端还支持自动申请并加载数字证书,无需在终端上人工导入数字证书,简化安装配置,提升终端部署效率和安全性。图2-10 iConnect 加入交互流程图 26 高品质校园网关键技术 最后,校园网中私接问题频发,给带来网络安全带来很多不确
58、定性风险。解决方案是通过定义接入终端黑白名单,不在白名单列表中的私接终端禁止入网,结合终端指纹库和终端流行为,自动识别仿冒终端,并加以阻断。图2-11 防私接方案流程图 27 高品质校园网关键技术 IPv6 接入与安全技术 随着全球 IPv4 公网地址的耗尽、以及我国正在推行的 IPv6 发展����战略,IPv6 已经成为当下的热门技术,新建校园网或者校园网的改造,IPv6 技术已成为基本要求。校园网络需具备 IPv6 单栈或者 IPv4/IPv6 双栈终端接入能力,如图 2-12 所示,同时提供 IPv6 业务的策略管控及安全管控能力。图2-12 IPv6 业务接入 28 高品质校园网关键技术 I
59、Pv4/IPv6 双栈承载双栈承载 IPv6 的业务部署是个逐步的过程,IPv4 到 IPv6 业务的过渡是个长期的过程,因此网��������络需要支持双栈的能力,可以同时支持 IPv4 业务、IPv4/IPv6 混合业务的部署,支持 IPv4、IPv6 单栈终端或者双栈终端的接入和管控。华为高品质以太全光校园网络解决方案提供 DHCPv6 Server 和中继的能力,同时提供 IPv6 无状态地址分配机制,支持给固定终端、移动终端(安卓、IOS 等)提供 IPv6 地址分配能力,使 IPv6 终端可正常接入网络。针对 IPv6 地址申请规划,有线终端通过 DHCPv6 的方式部署,无线终端通过 IPv6
60、无状态地址分配机制,满足安卓终端不支持 DHCPv6 时也可以动态申请地址的场景。IPv6 终端接入管控终端接入管控 针对 IPv6 终端,需要提供同 IPv4 终端一样的接入认证、策略管控的能力。支持MAC、802.1X、Portal 认证,支持认证授权 IPv6 相关策略,如 IPv6 ACL,同时提供 IPv6 免认证放行策略,未认证的终端可以访问指定的、受限的 IPv6 资源。针对 IPv4、IPv6 业务可以实现流量统计,可以实现 IPv4、IP��������v6 流量的计费。针对双栈的终端,提供一次认证(可以是 IPv4 或者 IPv6 认证),双栈业务放通,避免对同一个终端多次认证,提升双栈终
61、端接入网络体验。IPv6 安全安全 对 IPv6 终端接入,提供溯源能力,可以溯源 IPv6 终端接入的时间、使用的账号、IP、位置信息等,提供 IPv6 安全管控能力。如果网络存在攻击者发送大量非法 ND 协议报文或非法 IPv6 数据报文,将会导致合法用户主机通信中断、用户帐号口令被盗用等一系列安全隐患,因此需要对非法的 ND 协议报文和 IPv6 数据报文(源地址非法)进行有效防范,为合法用户提供更安全的网络环境和更稳定的网络服务。IPv6 运维运维 呈现 IPv6 终端列表,提供对 IPv�������6 终端的接入日志、告警信息的查看;针对 IPv6业务提供网络诊断,可以提供 ping、trace
62、 等常用网络工具;支持基于端口、五元组抓取 IPv6 报文进行分析。通过配套智能运维平台 iMaster NCE-CampusInsight,可以对网络中的 IPv6 业务浓度进行呈现,具体表现为对 IPv6 终端、IPv6 流量的占比、趋势的呈现,可以对网络中 IPv6 业务进行分析,提供网络 IPv6 业务改造的占比。29 高品质校园网关键技术 BRAS 设备实现校园用户管理 在智慧高教网络中������,对接入终端的管理尤为重要。当前业界的主流方式是通过专用 BRAS 设备配合 AAA 服务器进行终端的认证、计费、授权等管理。这种部署方式下,专用的 BRAS 设备和交换机等网络设备解耦,后期业务扩容
63、或者带宽扩容互不影响,进一步提高网络的扩展性。同时 BRAS 基于用户角色、用户下不同业务流的管理能力可以满足校园业务的精细化管理诉求。BRAS 不仅仅提供计费功能,而是将所有�������用户管理功能集为一体,给校园网络节省成本的同时,业务可靠性和稳定性都得到极大提升:BRAS 丰富的接入功能可以实现校园中有线、无线、物联终端的统一接入管理,包括 DHCP 接入、静态 IP 或者 ARP 触发接入、双栈接入等;BRAS 可以支持多样的准入认证功能,满足校园中有线、无线、物联终端的统一准入管理,包括 MAC 认证、PORTAL 认证、8021X 认证、RADIUS 代理方式同其他认证点协同认证等;BRAS
64、可以配合 DHCP 服务器实现终端的 IP 地址分配功能,包括支持基于用户角色、位置分配固定 IP 地址或者前缀;支持 DH�����CPv6 和无状态分����配地址协议,满足不同类型终端的 V6 地址分配;支持地址冲突检测等;BRAS 可以满足多样的计费需求,实现校园中访问网络的精细化运营,包括基于时长、带宽、套餐、固定 URL 等方式的计费;BRAS 可以通过授权,对不同的用户或者应用实现访问权限控制、出口选路、优先级映射和调度等功能,满足校园中业务的统一控制;BRAS 可以将所有有线、无线接入终端进行统一管理,监控用户在线、流量状态,满足校园中网络运维需求。30 高品质校园网关键技术 2.4 极致体验保
65、障极致体验保障 在校园网办公和教学场景,通常需要对办公教学应用与音视频业务等重要应用进行保障。该章节将分别从应用可保障、可视、可定界三个维度提供对应的关键技术,实现对重要业务的体验保障,流量和网络质量的实时监控,以��������及故障发生后的快速定位和定界。另外,通过部署体验板卡,减少对接入交换机智能应用识别功能的要求,极大降低建网成本,进一步提升重要业务的保障体验。应用保障 通过产品内置的智能应用识别能力,实现对需要保障的业务流识别能力,然后在此基础上分别从有线侧、空口侧和 WAN 出口部署对应的保障策略,保障企业重要业务(比如音视频会议)体验。音视频智能优先调度如图 2-13 所示。产品内置的特征库预置
66、了业界常用的应用识别能力,比如腾讯会议、钉钉、小鱼易联、Teams、Welin�������k、Zoom、Webex 等常用音视频会议应用。同时通过自定义应用能力实现对教学私有应用的识别。除此以外周粒度的 SAC 预置特征库在线更新能力也保证设备对业界新增知名应用的识别能力。有线侧通过智能应用识别优先队列调度技术,实现对重要业务的优先转发,保障重要业务的访问体验;空口侧通 VIP 用户带宽保障、多媒体智能调度功能实现 VIP 用户和音视频应用的优先转发,保障音视频应用体验;WAN 侧通过在出口网关配置基于应用的智能选路、广域优化技术,保障重要业务的访问体验。图2-13 音视频智能优先调度 31 高品质校园网
67、关键技术 应用可视 通过产品内置的智能应用识别能力以及 iMaster NCE-Campus��������Insight 分析能力,实现对指定应用的流量统计,包括根据不同终端的应用进行流量统计;通过IPCA/iFIT 随流检测、智能应用识别以及 iMaster NCE-CampusInsight,实现对关键应用流在网络中逐跳设备的网络 SLA(丢包,双向时延)监控;通过 EMDI 技术可以实现对 TCP 类应用,以及 UDP 承载的 RTP 类应用(部分音视频会议,例如 Welink、钉钉、webex 等)的网络质量分析,TCP 类应用可以计算丢包和时延,UDP-RTP 类应用可计算丢包和抖动。图2-14
68、应用质量Dashboard 32 高品质校园网关键技术 应用故障定界定位 通过部署 iPCA/iFIT 随流检测功能,实现对关键�����业务流在网络中逐跳设备的网络SLA(丢包、双向时延)监控。当故障发生后,可以快速定位包括非复现故障在内的各种故障发生的位置和产生的原因。同时 iMaster NCE-CampusInsight 提供了基于 AI算法的智能关联分析能力,实现故障根因自动分析和故障自闭环。除此以外 iMaster NCE-CampusInsight 还提供用户旅程和协议回放功能,实时呈现每个用户的全旅程网络体验(谁、何时、连接至哪个 AP、是否发生了漫游、体验、问题),实现故障实时可回溯。
69、常用指标包括:信号强度、带宽、速率、丢包率、延迟、重传率、信噪比等。图2-15 iPCA/iFIT 随流检测分析结果 33 高品质校园网关键技术 体验保障板卡 CloudEngine S8700 框式交换机通过体验保障板卡,突破性的实现了一台设备保障 10000 用户音视频会议不丢包、0 卡顿。通过 AI 识别引擎和独家联合调度算法,配合 iMaster NCE-Campus 智能运维平台,实现了从应用识别到优先级调度、网络质量检测、用户体验调优全流程的质量保障,让校园教学、音视频会议等重要业务的体验得到保障。图2-16 S8��������700 体验保障板卡 34 高品质校园网关键技术 2.5 极简智能运
70、维极简智能运维 校园网络应具备基于大数据的智能分析能力,准确定位网络中的潜在问题,并能给出预测性维护建议。该章节将介绍从大数据智能运维、无线射频调优等方面介绍极简运维的相关技术。大数据智能运维 华为 iMaster NCE-CampusInsight 网络智能分析平台将人工智能应用于运维领域,通过 Telemetry 技术采集网络设备的性能指标和日志数据,通过大数据、人工智能算法及更多高级分析技术,通过������场景化的持续学习和专家经验,将运维人员从复杂的告警和海量日志中解放出来,使得用户网络体验可视化、运维变得自动化和智能化。如图 2-17 所示,智能运维架构的底层是各类网络设备,提供了用户、射频、
71、AP、交换机、用户日志等多维度数据采集������能力,并通过 Telemetry 技术上送到智能分析器平台 iMaster NCE-CampusInsight,从而实现用户、网络到应用体验全方面可视,实现全智能运维。35 高品质校园网关键技术 图2-17 基于iMaster NCE-CampusInsight 的智能运维架构 Telemetry 在网络设备与智能分析平台 iMaster NCE-CampusInsight 之间采用 Telemetry来交互运维数据。Telemetry 是一项远程从网络设备上高速采集数据的技术。网络设备通过推模式(Push Mode)周期性地主动向智能分析平台的采集器上送
72、设备的各种运维数据,例如:接口流量统计、CPU 或内存数据、设备表项等信息,相对传统拉模式(Pull Mode)的一问一答式交互,提供了更实时更高速的数据获取能力。AI 动态基线动态基线 动态基线主要用于对某一指标未来变化趋势的预测,是基于历史大量数据通过AI 机器学习算法所得,是系统判定指标是否异常的标准之一。动态基线不是一条固 36 高品质校园网关键技术 定不变的基准线,而是一条会根据各时间点指标(比如网络流量)不断变化的基准线。动态基线当前采用高斯回归作为异常事件的预测算法。如图 2-18 所示,基于动态基线预测������的范围(灰色阴影部分)与实际������网络产生的数据(趋势折线图)对比,对于超出范围内
73、的数据时刻,初步判定为网络的异常事件。图2-18 基于动态基线的异常检测 音视频业务保障音视频业务保障 网络服务于应用,只有了解应用的体验情况才能更好的优化网络。针对音视频类应用,本方案中可以使用 eMDI 技术结合 iMaster NCE-CampusInsight,准确测量网络抖动、时延、丢包等对音视频应用的影响,运维人员可实时监控业务质量,并完成故障定位。故障分析能力故������障分析能力 iMaster NCE-CampusInsight 基于网络运维专家系统和多种智能算法,智能识别故障模式以及影响范围,协助管理员定界问题;基于大数据平台,分析问题可能发生的原因并给出修复建议。对于无线网络,可实
74、现故障分钟级定位:基于动态基线,识别 85%潜在故障;基于故障推理规则和华为专家知识库,自动识别故障根因,并提供修复建议。本故障定位能力覆盖了如下几类常见的无线网络故障场景,参见表 2-2。表2-2 无线网络故障场景 故障大类故障大类 故�����障小类故障小类 37 高品质校园网关键技术 故障大类故障大类 故障小类故障小类 连接类 关联失败、关联慢、认证失败、认证慢、认证超时、DHCP 失败、DHCP 慢、网关不可达 空口性能类 弱覆盖、高信道利用率、高干扰、非 5G 优先、终端容量、空口拥塞 漫游类 乒乓漫游、漫游异常 设备类 AP 掉线、设备离线、高 CPU 利用率、高内存利用率、PoE 供电故障
75、、转发表项超限、CPU CAR 丢包、攻击、二层环路 对于有线网络,针对常见的五大类故障,近 60 个小类的典型问题进行智能故障分析,帮助运维人员可视化、智能化地完成故障定位和处理。设备环境类故障:聚焦于物�������理器件是否状态异常 设备容量类故障:感知设备资源数量、容量是否够用 网络性能类故障:分析数据传输是否异常,对吞吐的影响 网络状态类故障:检查各种网络接口是否状态异常 网络协议类故障:检查网络协议(如 OSPF、S�������TP、BGP 等)是否异常 协议回放协议回放 基于 AP 设备上报的用户接入三阶段(关联、认证、DHCP)的协议报文,iMaster NCE-CampusInsight 细化分析各个
76、协议交互阶段结����果与耗时,提供用户接入过程中的精细化分析,帮助管理员快速定位故障原因,如图 2-19 所示。38 高品质校园网关键技术 图2-19 协议回放示例 iPCA 故障定界技术故障定界技术 通过 iMaster NCE-Campus 管理控制系统对网络中的设备部署 iPCA 后,网络设备就会定时将指定流的流量数据和报文转发时延上报到智能运维平台 iMaster NCE-CampusInsight,智能运维平台汇总每台设备的数据信息,通���������过对比分析,判断网络中哪台设备存在丢包和转发时延,快速对故障定界,缩短故障排查时间。智能无线射频调优 智能无线射频调优可以自动检查周边无线信号环境,动态调整
77、信道和发射功率等射频资源并智能均衡用户接入,从而降低射频信号干扰,调整无线信号覆盖范围,使无线网络快速适应环境�������变化,确保用户接入无线网络的服务质量,保持最优的射频资源状态。主要通过以下子能力来实现。39 高品质校园网关键技术 射频调优:当相邻 AP 的工作信道存在重叠频段时,某个 AP 的功率过大会对相邻 AP 造成信号干扰。通过射频调优功能,动态调整 AP 的信道和功率,减少 AP间信号干扰,保证设备的最佳工作状态。弱信号或低速率用户的接入限制和强制下线:针对弱信号或低速率用户,接入限制是指禁止低于指定信号强度或接入速率的终端接入 WLAN 网络,减少对其他终端的影响。强制下线是指 AP 检
78、测到终端的信号强度或接入速率低于门限值后,主动向终端发送解除关联报文,让终端重新连接或�����漫游,减少此类终端对整个无线网络性能的影响。高密功能:在 AP 密集布放场景,通过配置高密功能,实现 AP 对天线、功率和信号接收门限值的调整,减少 AP 间的同频干扰,提升用户上网体验。频谱分析:随着蓝牙、红外、微波等无线应用的增加,非 WLAN 设备对 WLAN网络的干扰问题日益突出。频谱分析是指通过频谱分析服务器对采集到的无线信号进行特征分析,识别出非 Wi-Fi 的干扰设备并对其进行定位,实现 WLAN 网络调优,提升用户体验。2.6 一体网络安全一体网络安全 为应对日益复杂的网络环境,校园网络的安全
79、也需要进一步加强,该章节将从校园出�����口网络安全、校园网络安全主动防御,校园网络威胁检测以及安全事件闭环处置几个方面介绍校园网络建设过程中使用的关键技术。校园网络安全主动防御 主动防御技术是一种新的防御思想。传统的安全防御方法都是“兵来将挡、水来土掩”的思想,而主动防御却是主动出击,从攻击者的思维角度出发,在入侵行为对信息系统发生影响之前,及时精准预警,实时构建弹性防御体系,避免、转移、降低信息系统面临的风险。实现主动防御体系的主要技术手段有:网络诱捕能力、零信任机制、态势感知与自动化响应、网安联动快速响应等。通过主动防御体系的构建,变被动防御为主动防御,主动诱骗攻击,提前锁定攻击行为,有效识别
80、APT 攻击,提前预判与预警。40 高品质校园网关键技术 图2-20 主动防御示意图 校园网络威胁检测 安全态势感知系统的检测能力,首先要具备丰富的 IPS 规则检测能力,可以高性能的识别出已知的漏洞攻击,木马外联,蠕虫,勒索病毒的连接等。此外更要具备基于 AI 异常行为的检测。规则检测规则检测 基于规则的 IPS 检测,主要依靠签名的梳理和有效性,IPS 签名总数量至少在12000����+以上,CVE 漏洞签名在 10000+以上。41 高品质校园网关键技术 WEB 异常检测异常检测 WEB 异常检测主要用于检测通过 WEB 进行的渗透和异常通信,从历史数据中提取 HTTP 流量元数据,通过分析
81、WEB 请求数据、WEB 响应数据和 WEB 通信行为发现 WEB 异常访问。通过分析 HTTP 协议中的 URL、User-Agent������、Refer 和上传/下载的文件 MD5 等信息,并结合沙箱文件检测结果,离线挖掘和检测下载恶意文件、访问不常见网站和非浏览器流量等异常。通过从 HTTP 流量中提取 WEB 请求特征和 WEB 响应特征,利用机器学习的算法发现可疑的 WebShell 访问。支持检测 WEB 相关的异常行为,包括:使用原始 IP访问 HTTP 服务,非浏览器访问 HTTP 服务器,通过 HTTP 下载恶意/可疑文件、可疑的 Webshell 访问、明文密码传输和 WEB CC
82、 攻击。������图2-21 WEB 异常检测示意图 42 高品质校园网关键技术 C&C 异常检测异常检测 C&C 异常检测主要通过对协议流量(DNS/HTTP/TLS/3,4 层协议)的分析检测C&C 通信异常。基于 DNS 流量的 C&C 异常检测采用机器学习的方法,利用样本数据进行训练,从而生成分类器模型,并在客户环境利用分类器模型识别访问 DGA 域名的异常通信,从而发现僵尸主机或者 APT 攻击在命令控制阶段的异常行为。图2-22 C&C 异常检测示意图 基于 3,4 层流量协议的 C&C 异常检测根据 CC 通讯�����的信息流与正常通讯时的信息流区别,分析 CC 木马程序与外部通讯的信息的特点,区
83、分与正常信息流的差异,通过流量检测发现网络中所存在的 CC 通讯信息流。对于基于 HTTP 流量的 C&C 异常检测采用统计分析的方法,记录内网主机访问同一个�������目的 IP+域名的所有流量中每一次连接的时间点,并根据时间点计算每一次连接的时间间隔,定时检查每一次的时间间隔是否有变化,从而发现内网主机周期外联的异常行为。此外支持检测异常的 C&C 通信,包括:可疑 DGA 域名访问异常,恶意 C&C 流量异常,HTTP 周期外联异常。43 高品质校园网关键技术 加密流量检测加密流量检测 面对现网比例越来越高的加密流量,如何提升加密流量检测的性能已经成为网络安全设备的关注重点。黑客通过 DNS 的恶意
84、域名过滤、基于 SSL 握手中的 SNI 及证书中的 CN 等信息的过滤,可以在前期过滤掉一些恶意的网址访问,但是仍无法有效的对加密流量内部的威胁进行检测。态势感知大数据平台 ECA(Encry�������pted Communication Analytics)加密流量检测技术,针对加密流量之前的握手信息,加密流量的统计信息,以及加密流量的背景流量信息,利用机器学习算法训练模型,对正常加密流量和恶意加密流量进行分类和识别,发现隐藏在加密流量中的恶意通信。ECA 最核心的功能是检测利用加密流量(TLS 协议)的 C&C 流量。通过上报的事件可以明确被恶意软件感染的主机。ECA 整体包含基于流量特征的签名检
85、测和基于流量特征的机器学习检测两个检测模块。两种��������检测方法相辅相成,以保证方案的检测性能。44 高品质校园网关键技术 安全事件闭环处置 安全事件闭环处置功能,需要安全态势感知平台能够联动控制器,交换机,��������防火墙等系统,进行威胁快速阻断。对于勒索病毒,挖坑木马,蠕虫等,需要联动交换机进行近源阻断。图2-23 安全事件闭环处置示意图 45 校园网典型场景网络方案 第第3章章 校园网典型场景网络方案校园网典型场景网络方案 摘要 本章主要介绍了校园网典型场景下的网络方案设计,包括教室、办公室和宿舍3个场景,给出了各场景下的网络部署架构、关键技术和方案价值。3.1 教室场景教室场景 46 校园网典型场景网络
86、方案 教室有线接入设计 随着智慧教学业务的不断发展,教室中对网络的诉求越来越高。越来越多的终端接入,例如录播系统、多个教学大频、远程会议系������统、VR 等新型教学手段,同时学生和老师的自有终端也需要接入网络参与互动。因此教室再改造中通常会出现以下问题:传统教室中,每个教室会从楼层弱电间用网线的方式提供两个或者多个有线信息点,当点位不够时,需要从弱电间重新拉线,当教室大小和信息点位不同时,这种改造浪费时间和人力。后期带宽升级时,也会面临网线重新部署的问题。我们建议采用接入�����交换机入室的方式部署,如图 3-1 所示,可以在教室内部署一台或多台静音交换机通过光纤连接到楼栋汇聚,静音交换机通过本地方式直接取
87、电。教室内终端和 AP 通过网线接入到小行星��������交换机上,其中摄像头、AP、电子班牌等终端或者设备通过小行星交换机进行 PoE 供电。47 校园网典型场景网络方案 图3-1 教室全光接入场景 每个教室按照大小、人数、业务灵活选择 8/16/24 口的接入交换机,实现接入业务的灵活定制;光纤直接接入到教室内,一次布线,十年不用替换;后期当接口不足或者带宽不足时,直接替换接入交换机即可完成扩容和升级。48 校园网典型场景网络方案 教室无线覆盖设计 教室、报告厅作为重点覆盖区域,属于高密或者超高密接入场景,人数从60300 人,并发率 40%,网络诉求主要是学生上网查阅、老师高清直播等。同时还需要满足以
88、下诉求:1.满足不同人数的接入体验,大学教室相对于办公区来讲有一个特殊点就是教室是各系科动态使用的,并且教室因为课程开设的不同,每次教室的人员数量也不固定,也就是无线移动终端接入数量是变化的。如果单纯的按照 AP 的覆盖面积来评估 AP 的部署,则可能出现教室人员坐满,无线终端数量多而 AP 数量少,到时上网体验不佳。如果按照教室实际座位数量*1.5 倍的无线终端数量来评估,则会出现 AP 部署数量多,一是增加投资,二是 AP 间的信道干扰,也会导致无线终端上网体验不佳。2.需要保障老师、会议演讲者在高密接入下的无线体验。实际的部�������署如图 3-2 所示,普通教室采用普通高密三射频 AP。平均每
89、80 个人部署 1 个高密 AP,小房间用面板 AP 补盲。图3-2 教室无线覆盖部署图 使用独家 SmartRadio 空口优化技术,保证不同用户场景下的最佳无线体验:用户数量较少,在高带宽场景,选择双频模式,提供超大吞吐量;在高并发场景,选择三射频模式,允许更多用户接入;49 校园网典型场景网络方案 在干扰较多场景,选择双频+独立射频扫描,不影响性能,利用独立扫描射频实现网络质量实时监测和优化;在�����大规模组网时,1 个 AP 款型多种模式实现混合部署,既满足不同业务������场景,又提升全网性能,节省 TCO。图3-3 空口优化示意图 使用 SmartRadio 的智能负载均衡功能,在不同 AP 间的
90、相同频段之间实现负载均衡的特性。尽可能保证覆盖区域内的 AP 连接的终端数量尽可能差不多,以�����此避免发生单个 AP 关联终端数量过多导致的网络访问不畅或是体验不佳。使用第三代智能天线,应对校园实际场景中出现的终端潮汐接入现象。第三代智能天线是业界首�����个动态变焦智能天线,一种天线提供全向/高密两种模式,可以根据终端密度场景自适应。50 校园网典型场景网络方案 图3-4 智能天线示意图 如图 3-5 所示,为提升 VIP 和音视频业务保障能力,针对关键用户和音视频业务通过空口切片和智能优先调度能力保障无线业务体验。51 校园网典型场景网络方案 图3-5 VIP 和音视频业务保障示意图 当 TCP 业务
91、占比达到 80%+,而 TCP 的上层确认机制在多用户场景会造成严重冲突,会导致空口丢包降速,影响用户体验,华为 AP 通过融合调度可以使整体容量提高 10%,如图 3-6 所示。图3-6 融合调度示意图 52 校园网典型场景网络方��������案 3.2 办公场景办公场景 办公室接入设计 办公室的房间数较多,办公人员的网络诉求主要集中在视频会议、办公上网等,业务较简单,但学校中办公室改造较多,经常会出现小办公室合并成大办公室的情况,对于教研室,人员的变化也非常快。在传统的网络方案中,如果人员或者场景变化导致信息点位不够时,需要另外从楼层弱电间的接入交换机上部署网线至房间,扩展不便。我们建议采用接入交换机入
92、室的方式部署,如图 3-7 所示,可以在每个房间内部署一台或多台静音交换机,并通过光纤连接到楼栋汇聚。静音交换机通过本地方式直接取电。办公室内终端和 AP 通过网线接入到静音交换机上,摄像头、AP 等终端或者设备可通过静音交换机进行 PoE 供电。53 校园网典型场景网络方案 图3-7 办公室全光接入场景 各办公室按照大小、人数、业务灵活选择 8/16/24 口的接入交换机,实现接入业务的灵活定制;光纤直接接入到办公室内,一次布线,十年不用替换;54 校园网典型场景网络方案 后期当办公室需要改造时,直接根据改造后的人数和业务替换接入交换机即可。办公室无线覆盖设计 ��������办公区作为重点覆盖区域,房间之
93、间紧密相连,结构不固定,需要满足办公人员同时上网(100%用户并发),网络诉求主要以上网、OA 系统、视频会议为�������主。同时还需要满足以下诉求:1.无线网络中,多人抢占空口资源,重要人士的无线体验需要重点保障;2.整体环境要求普遍覆盖,包括房间和走廊,满足办公人员的移动办公或者会议;3.办公区部署大量 AP,需要保障老师在 AP 间漫游时的网络体验。实际的部署�����如图 3-8 所示,办公室根据面积大小采用面板 AP 或者放装 AP,每个房间部署一个,走廊根据实际情况放置保证信号覆盖。图3-8 办公室无线覆盖部署示意图 华为 AP 所集成的智能阵列天线+波束成形技术,可以为处于不同位置的 STA 选择最
94、佳的天线,提高信号接收质量,提升系统的吞吐量。智能阵列天线+波束成形技 55 校园网典型场景网络方案 术,可以智能的选择多个天线阵子进行信号的发射和接收,不同天线的组合可以形成不同的信号辐射方向,从而选择最佳的天线。图3-9 智能天线技术 通过 AI������ 的强化学习(Reinforcement learning)功能,华为分析了市面上主流终端的漫游行为,将各种终端对应的有效引导策略分别抽象������为不同的终端画像(包括该类型终端的协议能力、漫游引导条件、漫游引导参数等),每个终端画像对应于一套个性化漫游引导策略,由此形成终端画像库。STA 上线后,AC 可以根据 STA 的设备型号、操作系统等信息从终端画
95、像库中匹配到最适合的终端画像。触发漫游时,AC会针对该 STA 采用个性化的引导策略,从而有效提高漫游成功率,效率����提升 100%,漫游切换时间从 50ms 10ms。通过无���������损续传能力,实现漫游过程业务不中断。另外,华为 AP 还支持 VIP 用户保障,关键用户通过空口切片和智能优先调度能力保障无线业务体验。56 校园网典型场景网络方案 3.3 宿舍场景宿舍场景 宿舍有线接入设计 宿舍场景下,房间数非常多,房间中的人员固定且上网行为较为单一,建议通过面板 AP 直接提供每个房间的有线和无线网络接入。在宿舍,网络设备一般不会采用本地取电的方式,因此需要考虑通过 PoE 方式进行供电。如图 3-10
96、 所示,每个房间部署光电 AP,直接通过光电复合缆接入到楼栋汇聚交换机;光������电 AP 通过光电复合缆从汇聚交换机侧取电。汇聚交换机支持对所有光电AP 的供电管理。57 校园网典型场景网络方案 图3-1��������0 宿舍全光接入场景 58 校园网典型场景网络方案 宿舍无线覆盖设计 宿舍作为重点覆盖区域,房间之间紧密相连,结构和人员固定,需要满足人员同时上网(100%用户并发),网络诉求主要以上网、观看视频、在线网课学习、娱乐游戏为主。同时还需要满足以下诉求:背景业务流繁杂,包含网络游戏、抖音直播以及P2P 下载等业务,P2P 下载业务流量比较大,导致游戏、直播等时延敏感型业务经常出现卡顿,对应的质量无法得到
97、保障。实际的部署如图 3-11 所示,宿舍内每个房间部署一个面板 AP 减少穿墙数量保证覆盖,足以满足室内 10 人以下的无线接入。图3-11 宿舍无线覆盖部署示意图 59 校园网典型场景网络方案 教育宿舍场景中,以������网课、会议、视频、游戏、上传/下载业务为主,其中网课、会议、视频、游戏业务都有低时延的要求;如果同时有大流量的下载业务,前述业务容易受影响。华为 WLAN 基于上述场景,结合应用识别技术,推出多媒体切片技术,在保障低时延业务的同时,保障 P2P 上传/下载的吞吐。图3-12 多媒体切片技术示意图 60 高品质校园网产品选型 第第4章章 高品质校园网产品选型高品质校园网产品选型 摘要
98、 本章主要介绍满足高品质以太全光校园建网理念下,华为技术有限公司可提供关键网络设备选型。表4-1 产品组件介绍 产品产品 介绍介绍 CloudEngine S 系列园区交换机 华为 CloudEngine S 系列园区交换机,拥有业界独家的弹性多速率接入、光电混合接入能力,丰富的 25GE/40GE/100GE 全超宽汇聚转发能力,可应用在核心、汇聚、接入层,构建高品质以太全光校园网。AirEngine �����Wi-Fi 6/7 系列 AP 华为 AirEngine 系列无线局域网产品,基于 Wi-Fi 6 和 Wi-Fi 7 标����准,提供智能天线和智能漫游等创新技术,为校园网络打造一张极速体验、覆盖
99、无盲点、信号无死角、漫游无中断的连续覆盖的全无线网络。iMaster NCE-Campus 华为园区网络智能管理控制系统,可作为智慧高校网络解决方案的网络控制器,实现高品质以太全光校园网的全生命周期自动化与智能化管理。iMaster NCE��������-CampusInsight 华为园区网络分析器,颠覆传统聚焦资源状态的监控方式,通过 Telemetry技术、大数据分析、机器学习算法打造卓越的网络服务保障体验。61 高品质校园网产品选型 4.1 CloudEngine S 系列园区交换机系列园区交换�������机 CloudEngine S16700 系列交换机 CloudEngine S16700 是华为公司推出
100、的业界最高能力的旗舰核心交换机,在�����提供稳定、可靠、高性能的 L2/L3 层交换服务基础上,为客户构建一个智能、极简、安全和开放的园区网络平台。支持 10G-40G-100G-400GE 端口平滑演进,单槽位带宽是业界四倍,同时创新的双路电源设计,电源空间节省 50%,可以极大的减少核心层设备的数量,简化网络管理,节省机房电力、传输、空调等配套成本。CloudEngine S16700 提供 4/8 两种不同业务槽位数量的款型,可以满足不同用户规模的园区网络部署需求。图4-2 CloudEngine S16700 系列交换机 62 高品质校园网产品选型 CloudEngine S12700E 系
101、列交换机 CloudEngine S12700E 是华为 CloudEngine S 系列园区交����换机家族中的全新旗舰级核心交换机。它基于业界领先的分布式交换架构设计,搭载高性能交换芯片和转发芯片,可以为用户提供高品质海量数据交换能力、有线无线深度融合能力、全层次开放和网络平滑升级能力。CloudEngine S12700E 提供 4/8/12 三种不同业务槽位数量的款型,可以满足不同用户规模的校园网部署需求。图4-3 CloudEngine S12700E 系列交换机 63 高品质校园网产品选型 CloudEngine S8700 系列交换机 CloudEngine S8700 智能路由交换机
102、是华为公司面向下一代企业网络架构而推出的新一代高端智能路由交换机。该产品基于华为公司智能多层交换的技术理念,在提供稳定、可靠、安全的高性能 L2/L3 层交换服务基础上,进一步提供 VPN、业务流分析、完善的 QoS 策略、可控组播、资源负载均衡、一体化安全等智能业务优化手段,同时具备超强扩展�����性和可靠性。CloudEngine S8700 提供 4/10/12 三种不同业务槽位数量的款型,学校可以根据不同的网络需求进行灵活选择。图4-4 CloudEngine S8700 系列交换机 64 高品质校园网产品选���型 CloudEngine S7700 系列交换机 CloudEngine S7700
103、 系列交换机可提供有线无线深度融合、统一用户管理、网络质量感知 iPCA、完善的 HQoS 策略、一体化安全等智能业务优化特性,支持 100G端口,具备超强扩展性和可靠性,广泛应用于校园网核心层。CloudEngine S7700 提供多种不同业务槽位数量的款型,可以满足不��������同规模的校园网的部署需求。图4-5 CloudEngine S7700 系列交换机 65 高品质校园网产品选型 CloudEngine S6730-H 交换机 CloudEngine S6730-H 系列 10GE 交换机,是华为公司推出的全新 10GE 盒式交换机,具备随板 AC 能力,可管理大规格数量的 AP;具备业务随
104、行能力,提供一致的用户体验;具备 VXLAN 能力,支持网络虚拟化功能;内置安全探针,支持异常流量检测、加密流量的威胁分析,以及全网威胁诱捕等功能,广泛应用于校园汇聚和接入层。图4-6 CloudEngine S6730-H 系列交换机 66 高品质校园网产品选型 Cl�����oudEngine S5735-L-Q 静音系列交换机 CloudEngine S5735-L������-Q 静音系列交换机基于新一代高性能硬件和华为公司统一的软件平台,具有灵活的以太组网,多样的安全控制,简易的运行维护等特点,支持多种三层路由协议,具备更高性能和更丰富的业务处理能力,全系交换机采用无风扇设计,静音又节能,可广泛应用于校园
105、网的建设中。图4-7 CloudEngine S5735-L-Q 静音系列交换机 67 高品质校园网产品选型 CloudEng��������ine S5732-H 光电混合交换机 CloudEngine S5732-H 光电混合交换机是华为面向 Wi-Fi 6 时代推出的业界首款全万兆光电混合交换机,基于华为公司统一的 VRP(Versatile Routing Platform)软件平台,具备有线无线深度融合能力,支持随板 AC,最多可管理 1K AP;具备业务随行能力,提供一致的用户体验,整机可最大提供 24 个万兆光口及 24 个万兆多速率电口,是 Wi-Fi 6 时代 WLAN AP 超远距离接入交
106、换机的理想选择。图4-8 CloudEngine S5732-H 光电混合交换机 68 高品质校园网产品选型 CloudEngine S5731-H 系列光电混合交换机 CloudEngine S5731-H 系列光电混合交换机是华为公司推出的新一代光电混合以太网交换机,支持创新光电协同����技术,光口电口合一,可作为中心交换机为远端模块提供超超远距供电;此外,该系列交������换机内置安全探针,支持异常流量检测、加密流量的威胁分析,以及全网威胁诱捕等功能,是高品质校园网接入层的最佳选择。图4-9 CloudEngine S5731-H 系列光电混合交换机 69 高品质校园网产品选型 CloudEngine
107、S5731-L 系列远端模块 CloudEngine S5731-L 系列远端模块交换机是华为公司基于创新极简架构推出的全千兆以太网交换机,可作为无管理型交换机单独部署和使用,也可配套华为园区交换机��产品实现极简、高效的组网。此外,远端模块可作为中心交换机的端口扩展模块实现端口的灵活扩展。远端模块可提供全千兆的数据接入能力,可选支持创新光电P���������oE 取电。图4-10 CloudEngine S5731-L 系列远端模块 70 高品质校园网产品选型 4.2 AirEngine Wi-Fi 6/7 系列系列 AP AirEngine 8760R 系列室外接入点 AirEngine 8760R-X1 是
108、华为发布的支持 Wi-Fi 6 标准的新一代旗舰室外 AP,具有卓越的室外覆盖性能以及超强的 IP68 防水防尘和防雷电能力。支持光/电上行口,便于客户使用不同的部署方式,有效节约客户投资,适用于校园高密覆盖场景。图4-11 AirEngine 8760R 系列室外接入点 71 高品质校园网产品选型 AirEngine 8771-X1T 室内接入点 AirEngine 8771-X1T 是华为发布的新一代 Wi-Fi 7(802.11be)无线接入点,内置动态变焦智能天线,同时支持 2.4GHz(4x4 MI����MO)、5GHz(4x4 MIMO)和6GHz(4x4 MIMO)三频,整机最大支持
109、12 条空间流,速率可达 18.67Gbps,让用户享受光纤般的无线体验,适用于 XR 互动教学等创新场景。图4-12 AirEngine 8771-X�������1T 72 高品质校园网产品选型 AirEngine 6700 系列室内接入点 AirEngine 6700 系列室内接入点是华为发布的支持 Wi-Fi 6 标准的室内 ������AP。支持 2.4GHz(4x4)和 5GHz(6x6)双频同时提供业务,整机速率可达 8.35Gbps,通过 RTU License 升级,整机速率可达 10.75Gbps。AirEngine 6760-X1 AP 内置智能天线,信号随用户而动,极大地增强用户对无线网络的使用
110、体验。支持 10GE 光/电上行,便于客户灵活部署,有效节约客户投资,适用于教育的办公室、教室、礼堂等场景。图4-13 AirEngine 6760-X1 和AirEngine�����6760-X1E 73 高品质校园网产品选型 AirEngine 5700 系列室内接�������入点 华为 AirEngine 5700 系列室内接入点是华为发布的支持 Wi-Fi 6 标准无线接入点产品,同时提供面板 AP。内置智能天线,信号随用户而动,极大地增强用户对无线网络的使用体验,适合部署在教师办公室、教室和宿舍等场景。图4-14 AirEngine 5700 系列AP 74 高品质校园网产品选型 4.3 iMaster
111、 NCE-Campus iMaster NCE-Campus 是华为公司推出的创新型自动化及智能化运维平台,作为智慧高校网络解决方案的网络控制器,是管理层的核心�����部件,具备网络资源规划、业务自动发放、流量流向分析、基于应用的体验优化、基于意图的监控和运维等能力,实现高品质以太全光校园网的全生命周期自动化与智能化管理。图4-15 iMaster NCE-Campus 全景图 75 高品质校园网产品选型 4.4 iMaster NCE-CampusInsight iMaster NCE-CampusInsight 是华为推出的园区网络分析器,颠覆传统聚焦资源状态的监控方式,通过 Telemetry
112、技术实时采集网络数据,利用大数据分析、机器学习算法学习网络行为并识别故障模式,帮助运维人员主动发现 85%的潜在网络问题,打造卓越的网络服务保障体验,其关键架构和组件如图 4-16 所示。图4-16 iMaster NCE-CampusInsight 的�����架构及关键组件 76 高品质校园网成功案例 第第5章章 高品质校园网成功案例������高品质校园网成功案例 摘要 本章主要介绍了基于高品质万兆理念建设的校园网成功部署案例,每个案例介绍了方案背景、关键技术和方案价值。5.1 西安交通大学西安交通大学-智慧学镇智慧学镇 方案背景 西安交通大学中国西部科技创新港-智慧学镇是教育部和陕西省共同建设的国家项目,是
113、陕西省和西安交大落实创新驱动、“一带一路”、西部大开发战略的重要平台,创新港定位为国家使命担当、全球科教高地、服务陕西引擎、创新驱动平台、智慧学镇示范。探索与教学、科研的融合价值,形成应用孵化,同时带来产业生态的完善。77 高品质校园网成功案例 创新港总体用地约 5000 亩,其中一期科研、教育板块占地约 1750 亩,建筑面积 159 万平米,2019 年 7 月搬迁入住,服务 5000 教职��������工,18000 研究生。创新港的定位对校园网络提出了更高的要求,需要同时满足学校、企业等多种业务场景接入,满足以下几个目标:图5-1 校园网络建设目标 然而,传统校园���网存在以下问题:10 万+网络用户,
114、5000+网元,50 万+终端,维护困难;多张网络并行建设,投资浪费,独立管理进一步�����增加了网络管理的难度;重视物联网建设,校园上万物联网节点需要统一接入。多网融合,SDN 自动化统一管理 经过对创新港现场反复工勘,将 SDN 园区网作为底层的技术架构,给有线�������无线物联网融合提供了基础。借助华为平台+生态的能力,将物联网操作系统与物联网关深度融合,将 5G 网络与校园网络运营融合,将传统的物理融合网络与智慧校园业务结合起来,实现“四网融合”方案。78 高品质校园网成功案例 图5-2 多网融合示意图 整体网络方案中,通过 SDN VXLAN 设计,将有线、无线、物联网等网络实现融合,实现一张融合网络
115、承载学校多张业务网络,通过安全态势感知将防火墙、沙箱、流量清洗的设备有效联动,实现全网安全协������防,通过 AR 系列物联网路由器����与合作伙伴的物联网平台深度融合,实现学校后勤资产安防等物联网场景统一计入,统一管理,通过校园融合网络运营平台,实现 5G 与有线、无线网络统一体验,统一运营。方案价值 构建一张承载有线、无线、物联网及 5G 的综合网络,使得园区网络能够满足园区内各种数据终端及传感设备在任意位置的灵活接入、快速上线、业务延续。采用云化技术架构,解决传统物理网络的难扩展,难调整,难运维的问题,通过网络的“硬件资源池化”,实现“统一承载,按需定义,弹性扩展”。通过物联网实现创新港全面物联感知,
116、将学校资产管理、设施管控、安防等多个系统互联,从融合管理的角度,将感知模块、设施的管理,边缘计算以及网络资源的实时管理。通过设施与平台之间、设施与设施间在协议层、数据层无缝的连接才����能够确保整体系统有机的结合为一体,实现统一控制和业务联动。通过融合网络可以获取 PC 端、移动终端、物联网终端等丰富的联接数据,从多维度展示学园区据联接情况,IOC(统一运行�������中心)提供基础数据源。通过融合的云化网络控制器,可以实现多维多源的大数据的统一采集存储,多维度关联分 79 高品质校园网成功案例 析,多维度可视化展现与交叉检索溯源,统一的数据北向开放与再利用。通过云网协同,可以基于全面而准确的大数据,实现网络情
117、境实时感知与自愈自驱动。通过融合运营平台,实现网络通信业务线上一����站式办理,用户体验升级;实现4G/5G 移动网络随时随地访问教学办公资源,减轻学校有线无线压力;将移动网络纳入学校信息安全管控范围,使学校网络安全管理迈上新的台阶。5.2 东南大学东南大学-数智东南数智东南 方案背景 作为中国建立最早的现代大学之一,东南大学至今已有百余年历史。除了学富五车的学科泰斗,东南大学本身也保留了众多精美、大气的旧式建筑,而这也为校园平添了浓郁的历史与人文气息。人民的名义、七月与安生、建国大业、致青春等影视作品都将东南大学作为重要场景的拍摄�������地。在绿树掩映的旧式建筑当中,青年学子穿行其间,历史与未来在这里相互
118、升华、相得益彰。80 高品质校园网成功案例 除了古朴的环境和深厚的人文底蕴,强大的科研能力和教学资源也使得 985、211、世界一流大学建设高校等重量级光环从来不曾离开东南大学。目前,学校 11个学科入选国家“双一流”建设学科名单、5 个学科在�������第四轮学科评估中获得 A+,位列全国第八位。这些都吸引了一代又一代东南学子用勤奋实践着科学之伟大。于古朴中孕育创新,在变革中提升服务。在背后支撑科研生活和教学管理的是东南大学与时俱进的信息化建设。近年来,学校已经实现了教学、教务及日常管理的全面电子化、数字化,新一代数字技术正在成为老师教学管理的左膀右�������臂、学生的生活与科研学习的最好助力,学校的运行效率也因
119、此迈向全新的维度。但在各类系统不断投入运营之时,学校师生和管理部门对于网络资源的需求也在同步攀升,网络的运营和运维也面临新的压力和挑战:一是校园网络不仅要承担各类教学、教务系统的数据流、业务流,还要为校内的数千名老师和 4 万余名学生提供网络联接。庞大的带宽需求已经让学校网络不堪重负,特别是在宿舍区,由于宿舍网络早期由运营商承建,使用单独的核心与出口,宿舍网络未与教学科研网在校内��������实现互联互通,很多师生在宿舍访问内网资 81 高品质校园网成功案例 源时往往只能绕行外网;而这又给学校的网络出口带来新的压力。同时,这种绕行外网的内网资源访问,既不经济、也不安全。二是在东南大学智慧校园的建设过程中,智
120、能终端的应用也愈加广泛,这就要求学校提供稳定的无线网络联接。但实际的情况是,原先由运营商构建的无线网络覆盖存在一定的局限性,众多楼宇的遮挡让信����号衰减,而庞大的带宽和联接需求则又给基础校园网增加了额外的负荷。在宿舍区,每个无线网络连接只能获得12M 带宽,已经无法满足学生观看在线课程等基本需求。三是网络架构也成为学校向数字化、智慧化发展的主要掣肘。当然,这套陈旧网络的弊端也不单在用户及业务体验层面,还体现在学校的管理运维中。由于缺乏有效的管理分析手段,学校不仅要花费大量人力物力来对网络进行手动维护,包括物联网、智慧安防、网络资产管理等对网络有重度依赖的项目也很难开展。显然,全面的网络升级改造已经
121、迫在眉睫。基于前期的深入调研和招标组专家评定,东南大学最终选择来自华为的 Wi-Fi 6 全光网络方案������。图5-3 全光网络方案 82 高品质校园网成功案例 全光以太接入 目前东南大学已经基于多网融合的顶层设计,完成了宿舍区的网络改造。在有线网络部分,东南大学宿舍区网络创新采用光电交换机进行网络搭建,既实现了光纤入室,又解决了宿舍内取电难的问题;万兆到楼宇、千兆到宿舍的网络带宽让所有人、所有业务的网络体验都获得了质的提升。当然,有了庞大的网络带宽作为基础,依托于物联网和智能安防技术的出入门禁、门锁、闸机、巡检及户外设施管理也能够顺利开展;网络支持 IPv4 和 IPv6 双栈运行,后续海量设备的
122、组网与管理也将更加方便。Wi-Fi 6 全覆盖 在无线网络部分,为了有效利用海量的带宽资源,进一步提升各类智能终端的连接效果,华为则使用了最新的 Wi-Fi 6 系列 AP 组建无线网,通过 9000 多个 AP 安装实现三个校区的无线网络全面覆盖。更高级的标准可以提升单 AP 的设备容量和带宽,华为独家的智能天线技术则能让高频无线信号实现更好的穿透性和更广的覆盖,�����节约了组网成本。同时,在 WLAN 的汇聚层,先进的机架式交换机能够实现 Tb 级的转发带宽,相比传统方案带宽提升百倍。而通过 WLAN 控制器的板载化和轻量化,整个无线网络的 TCO 也有 30%以上的降低。未来,这套先进无线网络
123、还可以向 Wi-Fi 7 进行平滑过渡。83 高品质校园网成功案例 Wi-Fi 7 部署测试 华为携带迄今全球最�������快 Wi-Fi 7 AP 驶上国内数字化领先的“数智东南”信息高速路,在东南大学网络与信息中心对 Wi-Fi 7 AP 进行了部署����测试,真机实测 Wi-Fi 7的单终端速率超 4.3Gbps,快人一步体验 Wi-Fi 7 飞起的感觉。图5-4 手机终端链接到 Wi-Fi 7 AP 测速 84 高品质校园网成功案例 从实测结果可以看出,在支持 Wi-Fi 7 通信协议标准的小米 13 Pro 测试下,单终端速率超 4.3Gbps!相比于 Wi-Fi 6 环境下的小米 13 Pro 速率
124、提升 2 倍、相比于Wi-Fi 6 环境下苹果 13 Pro 速率提升 4 倍。除了速率的飙升,相较于 W������i-Fi 6 协议平均 10ms 的时延,Wi-Fi 7 AP 下三个手机平均时延都在 4ms 之内。Wi-Fi 7 技术加持下的无线网络体验再也不用担心迟缓和卡顿,新的无线网络技术能力也为东南大学未来教学和科研的创新应用,提供了更多的可能,比如无线 XR教学、移动全息会议等。SDN 管理 网络管理一直是东南大学关注的重点,新网络不仅在带宽层面实现了较大突破,更在管理效率上取得大幅提升。华为 iMaster NCE-Campus 自动驾驶网络管理与控制系统实现了学校网络运营、控制、转发和管
125、理的四�����平面深度�����融合,遍布全网的探针可以让网络管理程序有效感知网络流量变化,并对潜在的故障和风险做出迅速响应,实现分钟级的故障定位,从而大大减轻运维人员的工作压力,可以自动的实现无线网络的智能调优,在不限速的情况下单用户网络带宽可达到稳定且连续的 200-400M。在全新构建的华为 iMaster NCE-Campus 自动驾驶网络管理与控制系统里,网络运营人员既可以对全校网络及其上运行的数据流进行有效监控,更可以实现对联网资产和全校总体网络态势的实时感知,获得网络管理的“上帝视角”。在计费和设备权限管理方面,华为在东南大学宿舍区部署了 BRAS 统一认证方案,并与运营商 BOSS 计费系统相连
126、。方案价值“数智东南”关键在于 ICT 基础设施建设与场景应用的深度融合,以网络、平台、应用建设,推动网上东南和一站式服务。首先,通过网络升级提升全校师生的用网体�����验并为校内各类数字化系统的进一步发展建设提供了良好支撑,而这也正是网络建设经常能够成为智慧校园建设的首要切入点。其次,有线无线一张网、管理运营多方融合的总体组网思路也让东南大学过去在网络运维上所面临的多重痛点一去不返,更低的管理运维成本使大学能够长期受益。85 高品质校园网成功案例 5.3 武汉理工大学武汉理工大学-极简宿舍接入极简宿舍接入 方案背景 武汉理工大学是教育部直属全国重点大学,是首�����批列入国家“211 工程”和“双一流”建设
127、高校,是教育部和�����交通运输部等部委共建高校。学校经过长期的育人实践,形成了特色鲜明的办学思想体系:构筑了“建设让人民满意、让世人仰慕的优秀大学”的大学理想,铸就了“厚德博学、追求卓越”的大学精神,确立了“育人为本、学术至上”的办学理念,树立了“实施卓越教育、培养卓越人才、创造卓越������人生”的卓越教育观。学校致力于为社会培养一代又一代以智慧引领人生、具有卓越追求和卓越能力的卓越人才。学校现有马房山校区、余家头校区和南湖校区,占地 4000 余亩,校舍总建筑面积 195.3 万平方米。武汉理工大学老校区现网为友商设备,且运行多年,存在以下问题:网络架构老旧,维护困难;无线网络覆盖不全;宿舍楼弱电间资源严
128、重不足,各个宿舍只能通过网线的方式连接到楼栋弱电间,通过网线 PoE 供电超出距离,同时网线扩展复杂。信息中心主任:“我们希望本次改造采用全光方案,而且要解决宿舍 AP 集中供电的问题,网络布线需要满足未来 10 年向 40G/100G 的平滑������演进。”全光以太接入宿舍网络方案 改造方案采用二层极简架构,如图 5-5 所示。每个房间部署一个 AP,实现宿舍内的 Wi-Fi 6 覆盖;无线 AP 直接通过光电复合缆接入汇聚交换机,实现光纤入室的同时,通过汇聚交换机和光电混合缆统一供电;每栋楼只需要对汇聚交换机作为网络节点进行管理,维护简单。86 �������高品质校园网成功案例 图5-5 二层极简架构 方案价
129、值 无线高质量覆盖,学生在宿舍的网络接入质量得到极大的提升;极简全光接入架构,实现光纤入室,一次布线,十年以上不用替换;宿舍内 AP 整体统一供电,不需要额外进行强电改�������造,供电更安全,每个宿舍的供电可单独控制,维护更简单。87 总结与展望 第第6章章 总结与展望总结与展望 摘要 各参编高校和华为一起,致力于打造高品质以太全光校园网络,助力智慧校园业务的进一步发展,为现代化教学打下坚实的基础。那么,高品质以太全光校园网络具备哪些特点呢?使用体验极佳的网络 稳定可扩展的智慧网络稳定可扩展的智慧网络 通过先进的架构保障校区间、校内各种可靠性,再通过设备本身 99.999%的电信级可靠综合保障校园网应
130、用的稳定运行。核心层敏捷交换机采用交换网集群 CSS2(Cluster Switch System 2)技术,支持主控 1N 备份,集群系统中只要保证任意一框的一个主控板运行正常,多框业务即可稳定运行;汇聚层和接入层交换机分别使用 CSS(Cluster Switch System)和iStack 技术,从逻辑上组合成一台交换机,通过集群+堆叠的无环网络方案保障网络可靠。88 总结与展望 BRAS、防火墙、AC 通过双平面可靠性部署,任何单点故障,业务无影响,同时设备升级业����务不掉线。网络架构清晰����、层次分明,最小化代价向未来演进。极致高速的网络体验极致高速的网络体验 全网采用无阻塞网络结构设计,
131、在全网的任何一个节点接入网络,都将得到极快的上网体验。而访问校内资源将不受任何速度限制,这样将可以极快获得网内资源的访问效果。校园网络出口设置线路的负载均衡以及资源访问智能调控,将对互联网资源的利用率提升到最高。流量控制系统,对 P2P 下载流量进行合理限制,避免带宽被无线地滥用,对应用系统、HTTP 等应用进����行带宽保证,满足学习和工作重点应用的使用,从而获得整网使用的资源使用均衡。无线全覆盖,校区无线漫游无线全覆盖,校区无线漫游 学校网络方案在整个校区中覆盖了无线信号。通过严格无线信号、频率的规划和设计,保证学校的各个场景中都得到充分、稳定的无线信号。校内的用户可以在校园内的任何一个地点,包
132、括宿舍、图书馆、教室、操场等都能根据需要随时随地接入网络。无线控制器 AC 为核心交换机内置,从而对 AP 的统一管控范围覆盖至全网。无线用户可以在校园内任意漫游,无线网络无中断。业务随行的高体验网络业务随行的高体验网络 全网采用整体统一的账号进行网络的准入准出控制。无论是有线还是无线接入,无论是在校本部还是其他的任何一个分校区,无论是使用 PC,平板电脑还是智能手机,或者是学校计算机实验室,图书馆阅览室等任何场所,都可以使用自己的唯一账号进行登录,账号所带的资源属性,权限属性都将账号得登录的展现,在任何地方获得��������一致的网络使用体验。极简维护管理的网络极简维护管理的网络 89 总结与展望 通过
133、iPCA 网络包守恒算法,可对任意业务流随时随地逐点检测网络质量,可在1 秒内立刻检测业务闪断性故障,检测直接精准到故障端口,实现从“粗放式运维”到“精准化运维”的转变。同时通过有线无线融合����网络管理平台实现对企业资源、业务、用户的统一管理以及智能联动。实现全网对园区无线网络的无线资源(AC/AP)进行资源管理、配置管理,提供无线网络从用户侧到网络侧的故障诊断,提供全网基于有线无线深度融合的 TOPO 展示。全威胁防护的智能防御网络 云化安全防护,安全业务弹性部署云化安��������全防护,安全业务弹性部署 一体化防护,集防火墙、VPN、入侵防御、防病毒、数据防泄漏、带宽管理、URL 过滤、反垃圾邮件等多种功
134、能于一身,全局配置视图和一体化策略管理。提供支持全面 SDN/NFV 云化部署的虚拟网络安全组件,通过软件定义安全来实现安全能力的快速部署,支撑校园网络未来云化发展趋势。DDoS 攻击云清洗,校园业务永续攻击云清洗,校园业务永续 DDoS 云清洗解决方案可以提供“本地清洗设备+云清洗服务”的分层 DDoS 防御方案。华为清洗设备运用大数据分析技术,针对 60 多种网络流量进行抽象建模,可以实现 T 级防护性能,秒级响应速度和超百种攻击的全面防御。华为云清洗服务可以为用�������户提供超过 2Tbps 的近源清洗能力,清洗中心遍布 4 大洲,全面保障客户基础设施和在线系统安全无忧,业务永续。校园网络安全态
135、势感知,攻击预警校园网络安全态势感知,攻击预警 基于机器学习和大数据平台,实现快速准确的检测高级威胁;通过建立各种检测模型,检测流量异常、WEB 异常检测、Mail 异常、C&CJ 检测、隐蔽通道检测,文件异常等行为;通过检测到异常,分析普通威胁,基于攻击链关联到高级威胁,实现攻击路径可视化。在威胁维度的攻击扩散展示维度,有效呈现高级威胁的多个攻击阶段,包括:外部渗透阶段、命令与控制阶段、内部扩散阶段、数据窃取阶,并直观清晰呈现来自不同地区的外部攻击源/命令控制服务器和校园网内部受到危害和影响的主机,有效洞察校园网面临的威胁,提前进行攻击������预警。90 总结与展望 面向未来的可智慧运营网络 最具性
136、价比的实用性网络最具性价比的实用性网络 网络设计理念超前,而又极其注重实用性,在全网�������中大量采用的千兆接入交换机其成本已经和百兆接入交换机相差无�����几。采用集群结构,在获得极好的网络稳定可靠性同时,对于网络的后续扩容也提供良好的支持。并且在新方案设计中充分考虑到避免投资的浪费,故在现网整改中着重替换部分采购时间过早、技术落后的设备,对于部分可以利旧使用的较新设备予以保留继续使用,在整体方案设计中充分考虑了项目的投资成本和投资效益,具备较高的性价比。具备物联感知能力的校园网络具备物联感知能力的校园网络 通过弹性扩展的物联网关、支持物联接入的 AP 实现校园网络的物联感知能力,一体化运维平台实现网络、物
137、联业务一网监控、快速定位,满足校园智慧化业务发展。面向未来具有优越扩展�����性和兼容性的网络面向未来具有优越扩展性和兼容性的网络 考虑到随着后续信息技术的进一步发展,教学模式的改变,未来网络需要承载更多的业务及提供更多的优质服务。因而在方案设计中充分考虑了未来校园网络技术发展的要求,能够无缝向未来 IPv6 网络过渡,同时引入 SDN 软件定义网络理念,通过敏捷交换机一机双平面技������术可以平滑的过渡到未来 SDN 时代的控制与转发分离架构。91 参考文献 第第7章章 参考文献参考文献 1 在实践中创造高校在线教学新高峰EB/OL.2021-02-10.http:/ 怀进鹏.数字变革与教育未来.2023-
138、2-13.https:/www.chinacacm.org/data/upload/image/20230426/77376.pdf 3 智慧教室.https:/ 清华大学科研机构管理规定.https:/ 廖翌�����棋.校园后勤数字化转型的思考与实践.2023-04-16.https:/www.chinacacm.org/content/11391.html 6 北京理工大学网络信息技术中心工作简报.https:/ 高校多业务融合承载网研究与构建.中国教育网络.2018-01-02.https:/ 8 尚群服务于������教学科研的校园网运维思考.2020-12-02.https:/ 92 参考文献 9 中国高校信息化发展报告(2020).http:/ 10 浙江大学智慧教室.https:/ 11 Cloud VR 网络方案白皮书.2018-09-05.https:/ 93 参考文献
sgpjbg002
工作日 8:30 - 17:30
报告分类
