1、23新华三技术有限公司 网络产品线规划与解决方案部 交换机产品管理部 联合出品商标声明 是新华三技术有限公司商标或者注册商标，在本手册中以及本手册描述的产品中，出现的其它商标，产品名称，服务名称以及公司名称，由其各自的所有人拥有。免责声明本文档可能含有预测信息，包括但不限于有关未来的财务、运营、产品系列、新技术等信息。由于实践中存在很多不确定因素，可能导致实际结果与预测信息有很大的差别。因此，本文档信息仅供参考，不构成任何要约或承诺，新华三集团不对您在本文档基础上做出的任何行为承担责任。新华三集团可能不经通知修改上述信息，恕不另行通知。版权所有 新华三技术有限公司 2022。保留一切权利。非经

2、新华三技术有限公司书面同意，任何单位和个人不得擅自摘抄、复制本手册内容的部分或全部，并不得以任何形式传播。全光园区网络技术与应用白皮书45全光网络概述12231.1 全光网络产生背景1.2 全光网络的应用场景1.3 全光网络技术优势全光网络方案56782.1 基于 EPON 的 POL 全光组网方案2.2 基于 GPON 的 POL 全光组网方案2.3 以太全光组网方案1010113.1 高校教室3.1.1 场景特点3.1.2 适用方案全光网络应用场景9010203目录1212123.2 高校宿舍3.2.1 场景特点3.2.2 适用方案8022232

3、02122243.3.1 场景特点3.4.1 场景特点3.5.1 场景特点3.6.1 场景特点3.7.1 场景特点3.8.1 场景特点3.4.2 适用方案3.5.2 适用方案3.6.2 适用方案3.7.2 适用方案3.8.2 适用方案3.3.2 适用方案3.3 开放办公区3.4 小型办公室3.5 会议室3.6 医院就诊大厅3.7 医院低密诊室3.8 医技科室2424253.9.1 场景特点3.9.2 适用方案3.9 手术室、ICU674040404.6.1 基本监控运维4.6.2 智能运维4.6 网络智能运维3637364.5.1 全光设备接入安全4.5.2 SDP 零信任网络4.5 网络安全

4、可信04H3C 智融全光园区解决方案282930332314.1 网络融合4.2 一框融合4.3.1 全光交换机上线自动化4.3.2 ONU 上线自动化4.3.3 全光 AP 上线自动化4.3.4 故障设备替换自动化4.4.1 精细化接入权限控制4.4.2 网随人动，策略随行4.3 网络自动化4.4 业务精细化管控2626263.10.1 场景特点3.10.2 适用方案3.10 智慧病房H3C 智融全光园区核心产品H3C 智融全光园区部署案例缩略语58525354555651504948436.1 中南大学：6 大校区高性能全光网升级6.2 浙江大学：打造以太全光智慧校园

5、6.3 南京邮电大学：以太+PON 全光校园网6.4 青海大学：PON 全光校园网6.5 西南石油大学：PON 全光校园网6.6 南昌交通学院新校区：宿舍区万兆对称 PON 光网络6.7 广东工程职业技术学院：清远校区 PON+以太全光校园网6.8 烟台市口腔医院：万兆光网络升级05060712全光网络概述1目前业界主流看法认为，全光网络是指单模光纤为传输介质，使用以太交换设备或PON 设备进行组网的网络，允许设备节点存在一定的光电转换，由此全光网络分出了以太全光和 PON（Passive Optical Network，无源光网络）两大类。与传统的铜缆网络相比，全光网络无论是在性能还是运维方

6、面，都有明显的优势。传统铜缆网络存在传输性能弱、成本高、布线复杂等缺点，已逐渐承载不了各种新型网络应用，例如物联网、云服务、超高清视频、无线办公、数字孪生等带来的业务流量。传统园区网络面临带宽、运维等瓶颈，全光成为下一代园区网的未来当下各行业数字化转型已经进入关键时期。Gartner 预测，到 2025 年，将有 85的企业和组织采用云优先原则，企业业务上云流量变化导致带宽需求激增，对网络联接产生更复杂的需求；IDC 预测，到 2025 年，50%的企业将整合 IoT 功能。企业内有线网、无线网、IoT 的多网合一，更需要统一的运维手段来简化网络运管，提升管理效率。传统园区网络面临带宽、运维等

7、更高要求，全光网络以其更高带宽、大二层网络易于运维和扩容、超长传输、绿色低碳等优点，成为下一代园区网络的最佳选项。政策推动力度不断加大过去十多年来，“光进铜退”工程在逐步推动铜缆网络的淘汰，政策对全光网络建设的支持力度在不断加大。2021 政府工作报告中就曾提出，“加大 5G 网络和千兆光网建设力度，丰富应用场景。”2020 年 4 月国家发改委明确“新基建”范围，提出重点做好四方面工作，其中之一就是“促进光纤宽带网络的优化升级”。全光网络应用场景较为广泛，可用于智慧校园、智慧医院、酒店、以及通用园区等业务。智慧校园：科研业务、教学业务。智慧医院：支撑 HIS、EMR、LIS、PACS、RIS

8、、远程医疗等医疗业务系统。智慧酒店：一房多业务，宽带、Wi-Fi、电视、电话多网合一。通用园区应用：整网漫游、安全隔离、Portal 认证、运营计费等。1.1 全光网络产生背景1.2 全光网络的应用场景34全光网络支持从 OLT 到 ONU 全链路，全设备，不同层级的保护，支持电信级 50 毫秒倒换。4.方便部署和升级扩展传统网络部署复杂、上线周期长。各种厂家、型号、有线和无线设备，以及不同粗细、重量、传输距离的线缆导致部署和维护的成本都很高。随着网络流量的增长，部分线缆可能会因为带宽不足而需要频繁升级换代。全光网络部署简单，所有设备即插即用，可以实现全自动化上线。光纤的传输带宽大、价格低廉、

9、单位体积仅为网线的五分之一，部署成本低。光纤的使用周期长，一次线路改造即可承载未来30年的网络带宽需求。未来网络升级可以尽可能地减少线缆的更换，只需要更换更高接口速率的板卡，甚至只需要更换光模块就可实现网络升级，便于扩展。图 1 双重保护方案1.传输性能强全光网络使用光纤作为传输介质，光纤有传输距离远、速率高、衰减少、抗干扰能力强、生命周期长等特点，是提高网速的理想材质。光纤传输距离远，可以轻松覆盖较大的范围。五类网线和六类网线的传输距离一般为 100M 以内，而万兆光模块铺设单模光纤可以达到 20KM 的传输距离。光纤的传输损耗非常低，被广泛用于较长距离和远程骨干网。例如，当距离为100M

10、时，光纤信号损耗仅为原始信号强度的 3%，而相同距离 6A 类铜缆网线的信号损耗大约为其原始信号强度的 94%。铜缆的传输损耗也会随着信号频率的提高而迅速增加。光纤传输速率高，单波传输速率可达 400Gbps 以上，是六类网线（1Gbps）的400 倍以上。光纤的抗干扰能力强，安全性更高。而普通的网线受电磁干扰的影响较大。光纤的生命周期长，一般可以使用 30 年无需更换，使用寿命是普通网线的 3-4 倍。2.网络结构简单可维护性强传统网络架构复杂，往往存在一个园区多张网并存的情况。普通的铜缆传输性能差，每百米就要增加网络设备，同时还需要增加弱电机房、空调等，这使得网络结构更加复杂、后期更难管理

11、。而全光网络结构相对简单，光纤可以传输不同速率和协议的数据，轻松实现多网合一，同时承载视频、数据、无线、语音等多种业务。光纤传输距离远、覆盖范围大，可以减少中继设备、弱电机房、空调的使用。在后期维护时，全光网络支持统一管理和监控，故障排查简单，故障设备支持一键替换；支持光链路、光模块故障诊断和光模块生命周期预测，可及时预测和处理光模块故障，方便后期管理和维护。3.网络可靠性高在全光网络中，如果光纤或者设备出现问题，Type B 或者 Type C 会自动触发网络的保护，无需人工干预，实现链路保护。虚拟化 OLT+Type B 双重保护方案简化管理的同时，可显著提升 OLT 侧保护能力。1.3

12、全光网络技术优势56全光网络方案2面对全光网络的发展趋势，业内常见三种解决方案，分别是以太全光组网方案、基于EPON（Ethernet Passive Optical Network，以太网无源光网络）技术的 POL（Passive Optical LAN，无源光局域网）全光组网方案和基于 GPON（Gigabit-Capable Passive Optical Networks，吉比特无源光网络）技术的 POL 全光组网方案。这些方案均提供高带宽、低时延、易维护、易扩展的全光网络，以简单的组网架构提升用户的使用体验，并支持未来网络的进一步升级。以上三种解决方案均能够为客户带来巨大的价值，满足

13、各种业务对高带宽、高安全性和高可靠性的要求。2.1 基于 EPON 的 POL 全光组网方案图 2 基于 EPON 的 POL 网络典型组网图基于 EPON 的 POL 网络典型组网如图 2 所示，该方案中的分光器无需供电，设备间无需空调，适用于弱电间空间小、改造困难，以及供电困难的部署环境。该方案优势如下：POL 方案不需要为汇聚层和接入层设备集中供电，不占用楼层汇聚机房空间，安78基于 GPON 的 POL 网络典型组网如图 3 所示。该方案和基于 EPON 的 POL 全光组网方案类似，都可以提供高性能的全光网络。汇聚层分光器无源，不占用楼层汇聚机房空间，不需要为汇聚层和接入层设备集中供

14、电，安全性高，部署更简单。GPON OLT 侧重于 PON 到以太的转换，以太转发交换功能弱。而在基于 EPON 的 POL 方案中，EPON OLT 的以太转发交换功能更加强大和丰富。2.2 基于 GPON 的 POL 全光组网方案图 3 基于 GPON 的 POL 网络典型组网图全性高、相比全光以太网交换机方案，部署更简单。光纤入室，终端 EPON ONU 和 AP 本地取电，不需单独部署集中供电线缆。用户可以根据实际需求同时部署带 PoE 供电功能的 EPON ONU，可以为摄像头、AP等 PoE 受电设备供电，实现光电终端混合接入。部署 EPON-AP（ONU 融合 AP），实现有线无

15、线一体化。核心层交换机安装单板实现 OLT 功能，实现以太网和 POL 网络的融合。全光口交换机典型组网如图 4所示，针对教室、办公室、酒店房间、厂房车间等使用场景，该方案提供高带宽、低时延的网络接入服务。在该组网中：通过部署SDN实现全光网络的统一控制和管理。通过统一运维，可以智能诊断故障、分析链路质量、预测光模块生命周期等，有效地提升网络质量。通过部署全光汇聚以太网交换机，上行带宽可达到 10G/40G/100G，满足教学等场景对上行带宽的要求。接入侧可以部署全光设备和光口 AP，实现无线网络接入。用户可以根据实际需求同时部署以太网电交换机，实现光电终端混合接入。接入层交换机和 AP 集中

16、供电，安全可靠，在宿舍等场景下可实现断电不断网。图 4 以太全光典型组网图2.3 以太全光组网方案910全光网络应用场景3教室一般分为普通教室、多功能教室和计算机教室，普遍具有以下特点：终端种类多，教学应用升级快，水平布线子系统多，有线至少需要 8 信息口。3.1 高校教室3.1.1 场景特点 Wi-Fi 6、AR/VR/3D 教学对带宽需求变大，网络性能、上行质量保障要求高。计算机教室承接学生 PC 同时访问外网的需求，多教室与外网交互纵向并发流量高，且计算机教室教学业务逐渐云化，横向和纵向流量增大，对网络性能、质量保障要求高。从流量模型看：教学系统之间的联动以教室内部设备之间横向流量为主，

17、交互持续且频繁。教学内容如教学视频、课件文件等下载以数据中心到教室内终端纵向流量为主，1112在教室场景下，我们推荐采用以太全光方案。采用光纤到教室组网方案，一根光纤解决教室所有业务，教学楼楼栋弱电间放置 1 个全光汇聚交换机，通过光纤接到安装在教室信息箱中的全光接入交换机。教室终端通过接入交换机的以太网口接入，并通过 PoE给 AP 和摄像头供电。图 5 教室流量模型变化趋势3.1.2 适用方案图 6 光纤到教室以太全光组网图且由于上课时间同步，具有多教室高并发、瞬时流量大等特点。教室监控保存以教室内终端向数据中心方向为主。根据宿舍场景的终端、流量特点，主推 PON 方案，分为光纤入室和光纤

18、到走廊两种方式，同时也可根据具体的应用场景选择以太全光方案。宿舍场景业务普遍具备以下特点：终端类型主要是个人电脑、手机、平板，无线接入多于有线接入。3.2 高校宿舍3.2.1 场景特点3.2.2 适用方案 人员集中，高性能、高并发，每房间平均带宽 200M 以上。无线网络利用率高，有线网络利用率平均低于 30%。弱电井空间有限，供电功率有限，部分楼体超长，桥架空间紧张，网络覆盖困难。从流量模型看：宿舍基本是终端到教育专网或互联网的纵向流量，满足学生上网或访问教学资源需求。少量物联终端经由 AP 实现宿舍无线局域网内的交互控制，宿舍之间横向流量需求比较小。校方部署的无线物联网终端如智慧门锁、智慧

19、水电表等也会共享楼层无线信号和上行带宽，但流量较小。校方有线物联网终端不占用宿舍有线口。1314图 7 宿舍-光纤入室方案组网图2.光纤入走廊1.光纤入室图 8 宿舍-光纤入走廊方案组网图3.3 开放办公区3.3.1 场景特点3.3.2 适用方案 一般面积比较大，有多个办公位组成，接入终端数量多，扩展需求多，易出现私接、环路等问题。终端类型如下：开发办公区的方案选择比较灵活，根据办公位的组合以及办公位所需的业务，可选用如下 3 种部署方案：云办公、视频会议等新型办公业务，高并发，低延时，对上行带宽要求高。FTP、共享文件、院系或部门自有服务器等横向访问流量大，打印机横向访问频繁。从流量模型看：

20、办公应用主要为办公系统、教学系统，流量以终端到数据中心、教育专网、互联网的纵向为主。横向流量主要为文件共享、本地服务器访问，但业务上云为未来趋势，本地横向流量会逐渐减少并最终消失。打印机、传真机等横向访问一般为同一房间内（同一 AP 或入室交换机内部），但流量较小。15161.光纤入室-以太全光或者 PON图 9 开放式办公区-光纤入室方案组网图2.光纤到桌面-以太全光或者 PON图 10 开放式办公区-光纤到桌面方案组网图17183.纯无线办公-以太全光或者 PON图 11 开放式办公区-纯无线办公方案组网图3.4 小型办公室3.4.1 场景特点3.4.2 适用方案 常见于校长室、财务室、教

21、授办公室等，接入的终端个数少，接入的终端种类如下：小型办公室，一般光纤入室。若有线终端个数不多，可以直接使用 PON AP，利用 AP 上的少量以太网口满足有线终端接入需求。若有线终端个数较多，使用 ONU 或者以太光接入交换机入室，然后通过以太网口POE 供电接 AP，提供无线信号。需要承载的业务主要包括视频会议终端、无线接入、PC 接入、IP 话机、打印机/传真机等。业务流量模型与开放办公区类似，但并发流量小。1920图 12 小型办公室组网图3.5 会议室3.5.1 场景特点 会议室接入的终端个数一般比较少，接入的终端种类如下：需要承载的业务主要包括视频会议终端、无线接入、PC 接入等。

22、云办公、视频会议等新型办公业务，高并发，低延时，对上行带宽要求高。从流量模型看：会议室的流量主要是以终端到数据中心、教育专网、互联网的纵向为主。图 13 会议室-以太全光方案组网图3.5.2 适用方案一般采用以太全光方案，保障上行带宽。光纤入室，室内放置一个光接入交换机，由光接入交换机通过以太网口连接 AP，并通过 POE 给 AP 供电。3.6 医院就诊大厅3.6.1 场景特点 就诊大厅接入终端种类和数量多，种类如下：空间开阔，信息点位置有变动可能，需实现内、外网无线覆盖。需承载多个医疗系统业务，药房、人工挂号收费窗口业务繁忙。2122图 14 就诊大厅组网图一般采用 PON 网络方案，采用

23、双 PON 口 ONU 构成 Type C 保护保障繁忙业务的高可靠性，AP 双网口上行实现内外网无线终端接入。3.6.2 适用方案 大厅人员流动量大，通过无线访问外网并发高，流量大。从流量模型看：有线接入点位的流量主要以终端访问医院的各种医疗系统的服务器获取挂号、缴费、检查报告等服务的南北向流量为主，无线作为有线的补充，并提供对外网的访问，流量以无线终端访问外网的南北向流量为主。需要承载的业务主要包括医患信息显示、患者信息登记、检查单、病历打印、IP电话、无线接入、PC 接入等。一般面积比较小，但需要进行内、外网双部署。从流量模型看：低密诊室的流量主要是以终端到数据中心、医疗系统专网、互联网

24、的南北向流量为主，流量一般不高。3.7.2 适用方案一般采用 PON 网络方案，内网采用入室 ONU(本地取电)，外网采用面板 ONU 满足少量有线口接入需求。放装 AP 吸顶安装，采用虚拟 AP 方案提供内外网双 AP，分别满足内网和外网无线接入需求。3.7 医院低密诊室3.7.1 场景特点 低密诊室一般接入终端数量较少，种类如下：2324图 15 低密诊室组网图3.8 医技科室3.8.1 场景特点 信息点位较少，主要包含办公 PC 和医疗设备：CT、核磁共振等仪器设备将持续产生高清影片，医疗系统重点业务需要保障，带宽要求高。从流量模型看：有线接入点位的流量主要以终端访问医院的各种医疗系统的

25、服务器的南北向流量为主。3.8.2 适用方案推荐采用 PON 方案，终端种类少、业务较为单一，千兆带宽入室，ONU 提供有线接口且为 AP 提供 POE 供电。图 16 医技科室组网图3.9 手术室、ICU3.9.1 场景特点 接入终端种类多，且点位不固定：25263.9.2 适用方案一般采用 PON 网络方案，通过本地多媒体箱内部署 ONU，千兆带宽入室保障各种业务流量需求，并为 AP 提供 POE 供电，动态带宽分配可按需提供足够带宽。属于净化区域，空间较小，二次施工难。从流量模型看：手术室、ICU的流量主要是以终端到数据中心、医疗系统专网的南北向流量为主，设备本身流量不大，但远程示教，远

26、程手术对高带宽、低延时有要求。图 17 手术室、ICU 组网图3.10 智慧病房3.10.1 场景特点 常见病房为 3 人间，床头护理分机+预留设备，至少需要 7 个信息点，其终端种类分布如下：Wifi6 等业务逐渐普及，医疗物联网设备（人员定位、移动护理等）和无线终端接入需求持续增长。从流量模型看：病房的流量主要以终端访问内、外网的南北向流量为主，终端数量虽然多但流量不大，对于低延时有较高要求。3.10.2 适用方案一般采用 PON 网络方案，动态带宽分配能够保障病房紧急业务流量优先。采用 8 口静音款 ONU 入室部署，无风扇设计不会打扰患者。虚拟双 AP，双上行口分别连接内、外网，实现内

27、、外网隔离，提供优质 WiFi6 无线体验。同时也可根据具体需求选择以太全光方案部署。2728图 18 智慧病房组网图 解决方案智融全光园区429304.1 网络融合以太全光组网方案和 PON 全光组网方案各有优势，而 PON+以太全光网组合方案则实现了以太网交换机和 PON 设备的融合组网，可根据实际需要在不同的使用场景下灵活部署。基于 PON+以太全光网组合方案的典型组网如图 19 所示。在该方案中，核心交换机通过安装 PON OLT 单板，将以太网和 POL 网络深度融合，并且深度集成安全、SDN、物联网等特性，适用于智慧校园、智慧医院、酒店等园区应用场景。该方案具有如下优势：高网络带宽

28、，通过全光互联，轻松实现超宽组网。智能运维，光链路智能诊断，实时保障链路质量；光模块诊断分析，生命周期预测；网络自愈，无线可视保障；可以及时查看设备状态和一键替换故障设备 部署简单，所有设备即插即用，自动化上线。融合组网，集中管控。以太全光网络和 POL 网络融合，由 SDN 统一管理。PON以 OLT 板卡的形式和交换机机框进行整合，无需再使用单独的 OLT 设备。有线网络架构双核心冗余设计，核心交换机支持 IRF 虚拟化技术，单台设备故障支持毫秒级切换。极致体验，通过光纤入室满足高带宽的接入需求。在教学、宿舍等场景下可以部署多速率静音交换机、静音 ONU，满足用户的网络使用体验。图 19

29、PON+以太全光网组合方案典型组网图4.2 一框融合由于以太网和 PON 在设备的软硬件特征和协议支持层面属于完全独立的两套技术体系，因此在传统的组网方式中，通常会将两张网络单独搭建。以太网仍然作为园区的基础网络协议，通过以太网交换机搭建园区三层骨干网络架构。在 PON 区域则通过OLT 和 ONU 实现独立的 PON 网络，再通过 OLT 设备上的以太网口连接到园区汇聚层设备上。这种方式在设备投入和管理运维上都存在较明显的不足：考虑到园区的扩展性，在园区汇聚层和 OLT 层通常都会选用机架式产品，而汇聚设备与 OLT 之间实际只会使用少量以太链路进行 PON 和以太的互联，并无复杂的协议和功

30、能需求，如果能将 OLT 功能集成到汇聚设备上，将有效减少设备层面的投资。在问题定位和排障过程中，以太设备和 PON 设备的功能和维护命令都不尽相同，极大影响问题定位效率和故障恢复时间，甚至可能引入更多问题。如果能在同一个管理节点上用同一套运维手段就能方便诊断以太和 PON 网络，也将大幅提升运维效率。以此为最终目标，新华三创新性地将以太网和 PON 两种技术体系在 S7500X 系列交换机上实现软硬件的完美融合。S7500X系列交换机不但支持丰富的以太网接口板卡，还同时支持EPON和10G EPON OLT线卡，是业界唯一实现跨协议融合平台的产品。除了融合以太网和PON技术，S7500X还面

31、向无线、物联等园区终端接入的发展趋势，提供了融合 AC 插卡以及可以监控和管理物联终端接入的鹰视解决方案插卡，以及安31324.3 网络自动化4.3.1 全光交换机上线自动化智融全光园区解决方案中使用大量全光交换机做大二层接入，全光交换机的自动发现和纳管可以大大减少部署工作量，提高部署效率，缩短开局时间。该方案引入 AD-Campus 管控析智能融合系统进行部署，通过控制器实现全光交换机的自动发现和纳管。AD-Campus 的自动化能力通过 NETCONF 方式自动发现设备，并下发初始配置，完成纳管。图 20 全光交换机自动化上线流程图全功能插卡。通过一台全融合的 S7500X 系列交换机，园

32、区用户可以实现：通过单一管理界面实现对以太网和 PON 网络的功能配置，并支持远程配置 ONU接口功能。通过一台硬件设备实现无线 AC 管理和物联准入管理功能，减少专用服务器的投入，并共享机架式交换机的硬件可靠性保障措施。在网络汇聚节点实现本地化的流量安全保障服务。综上所述，在多网络、多业务上的融合设计，体现了设备厂商在协议层面的技术实力，硬件层面的设计实力，以及对业务场景的理解能力。新华三独有的一框融合产品，在全光网络时代将帮助客户快速实现网络改造，安心享受全光网络带来的带宽提升和便捷的运维体验。4.3.2 ONU 上线自动化4.3.3 全光 AP 上线自动化智融全光园区EPON方案中，ON

33、U数量较大，若采用手工方式上线，则工作量比较大。框式全光交换机在插入 OLT 单板后，开启 ONU 自动绑定即可实现 ONU 自动注册并完成绑定。EPON 系统中端口分类和配置方式：OLT 端口：位于 OLT 设备，每个 OLT 端口可以连接一个 EPON 网络。例如 Olt1/0/1。ONU接口：OLT端口上用于连接ONU设备的逻辑接口。ONU接口的编号方式为：OLT 端口编号:ONU 接口编号，例如 Onu1/0/1:1。ONU 接口视图下所进行的配置都是对接入 OLT 的 ONU 设备的配置。仅当 ONU设备绑定到指定 ONU 接口后，该 ONU 接口才具有实际意义。UNI（User N

34、etwork Interface，用户网络接口）：ONU 设备上连接用户的端口。在 OLT 设备上进入 ONU 接口后，可以通过带 UNI 端口号的命令（例如 uni uni-number auto-negotiation）远程配置 ONU 设备上的 UNI 端口。智融全光园区方案中的全光 AP 均可以在二层可达、三层可达两种组网下，实现无线AP 自动化上线。在ONU自动上线后，再将ONU作为接入交换机，对ONU的UNI口进行VLAN配置，根据需要对连接 AP 的 UNI 口配置 AP 管理 VLAN。图 21 EPON 系统端口编号示意图33344.3.4 故障设备替换自动化全光交换机可以支

35、持故障设备替换，同型设备故障直接替换，异型设备也可精确故障替换。图 22 全光交换机异型设备替换示意图 全光 AP 自动化上线需要提前为连接全光 AP 的 OLT 口设置 AP 管理 VLAN，上线过程如下：空配置启动后，全光 AP 在 OLT 上通过 ONU 认证后自动绑定，建立与全光交换机之间的光链路；全光 AP 可以通过静态、广播、组播、单播方式主动发现无线 AC，采用与普通无线 AP 相同的流程自动在无线 AC 上线，与无线 AC 建立 CAPWAP 隧道。推荐使用 DHCP option43 指定无线 AC 地址的方式实现单播自动上线。4.4 业务精细化管控4.4.1 精细化接入权限

36、控制智融全光园区解决方案中业务的精细化管控体现在两个方面：第一，对用户精细化授权，使用户在不同的接入场景下得到准确的权限，并基于准确的权限进行访问控制。第二，网随人动，策略随行，用户在同一个接入场景中，用户的接入位置变化而权限不会变化，用户的访问策略也不会变化。智融全光园区中对接入用户或终端进行精细化权限控制，需要使用 EIA 作为 AAA 认证服务器，由 EIA 通过识别接入用户所处的 5W1H 场景，使用不同的接入策略，从而下发不同授权，也可以通过 EIP 自动识别终端类型及操作系统等信息，下发不同授权。1.5W1H 精细化接入场景5W1H 包括 Who（谁），Whose（谁的设备），Wh

37、at（什么设备），When（什么时间），Where（什么地点），How（什么方式）多维度覆盖各种接入场景，不同的接入场景可以定义不同的 5W1H 参数组合，并对应到不同的接入策略，下发不同授权。2.终端精细化识别根据用户终端认证过程中携带的特征信息授权不同权限，终端识别内容如下：基于终端 OUI MAC，每个终端厂商都有自己的 OUI MAC，可以确定终端厂商，NAS 设备会将终端 MAC 地址带给 AAA，则 AAA 可以进行识别。基于 DHCP 指纹，对于采用 DHCP 方式上线的终端，DHCP option55 携带请求参数列表选项，通过 NAS 设备将 DHCP 的 option55

38、携带在 radius 报文中带给AAA。基于 HTTP UserAgent 指纹：属于 HTTP 请求报文头域的一部分，用于携带终端访问 Web 页面时所使用的操作系统（包括版本号）、浏览器（包括版本号）等信息。基于用户终端特征识别依赖于认证服务器上包含的终端的 DHCP 指纹库，因此，若认证服务器的 DHCP 指纹库中不包含待部署的物联网终端的 DHCP 指纹，需要网络管理员提取终端的 DHCP 指纹。4.4.2 网随人动，策略随行传统网络中，用户根据所属 VLAN 获取地址，而网络设备需要按照用户接入位置部署VLAN，当用户接入位置变化时，往往需要重新进行接入认证，当接入位置变化导致接入

39、VLAN 变化时，还需要重新获取 IP 地址，不仅影响用户使用网络的体验，而且需要管理员根据 IP 地址的变化修改用户的访问策略。网随人动网络资源跟随人和应用移动，用户在哪里接入、资源就下发到哪里。具体体现为用户移动时，IP 地址段跟随，用户即使重新获取地址，也不会变化 IP 地址段，访问策略使用 IP 地址段方式匹配，则不需要管理员做更改。策略随行用户在任意的位置上线都可以获得相同的权限。此时用户权限与用户所处 VLAN、获取的 IP 地址均没有关系，仅依赖用户认证获得的授权。3536从上述定义可以看出，策略随行实现了真正的 IP 解耦，使得网络访问策略的部署与 IP地址不再有绑定关系。智融

40、全光园区使用 BRAS 作为用户的网关，进行用户集中认证，流量集中控制。BRAS 可以根据 AAA 服务器认证授权的用户组进行访问策略控制，使得用户在同一台 BRAS 设备上认证上线后，跨端口跨 VLAN 迁移时，都可以实现用户授权用户组不变，则访问策略不变。BRAS 上主要通过如下技术实现网随人动，策略随行。1.用户接入认证方式BRAS 上对于二层接入的用户，通过 MAC 地址作为用户唯一标识，使 BRAS 可以在用户 IP 地址变化的时候也能识别用户，实现网随人动，策略随行。BRAS 上的二层接入用户不区分有线用户和无线用户，可以使用以下四种认证方式：IPoE 认证需要提前采集用户终端信息

41、注册账号。推荐全光园区的哑终端使用此认证方式。IPoE Web 认证不需要提前采集用户终端信息，需要用户自行输入用户名和密码进行 Web 认证。适合各类型可以浏览器操作或安装iNode客户端的用户上线认证使用，不区分有线和无线。推荐全光园区的访客使用此方式认证。IPoE Web 认证 MAC 快速认证为了避免在 Web 认证阶段用户每次上线都需要手工输入认证信息带来的不便，通过基于 MAC 地址的快速认证功能，又称为无感知认证。推荐全光园区的用户使用此方式认证。802.1X 认证由于无线用户使用 802.1X 认证时必须在无线 AC 上进行，才能为密钥协商获得动态key。而 BRAS 集中策略

42、控制需要在 BRAS 也有用户认证信息。目前 BRAS 采用802.1X 认证代理的方式，协助无线 AC 和 AAA 服务器完成 802.1X 认证，同时在BRAS 上维护 802.1X 用户认证会话信息，以便进行集中访问策略控制。推荐对安全性要求较高的用户使用此方式认证。2.基于用户角色的 IP 地址分配BRAS 采用基于用户角色的 IP 地址分配方式，可以实现用户迁移，IP 地址段跟随。AAA 服务器根据用户角色权限规划用户属于不同的 user-group，授权不同的地址池、IPv6 前缀等角色特有的信息。3.IPoE 用户漫游IPoE 用户漫游，是指允许 IPoE 用户在多个指定的无线网

43、络覆盖区域之间移动时，跨VLAN、跨接口、跨 IRF 成员设备，均可以不需要重新认证，实现用户权限不变。可通过漫游组限定用户的漫游范围。4.基于组的策略BRAS 上对用户通过 MQC 策略实现访问策略控制，匹配特征为用户认证时授权的user-group，实现用户授权 user-group 不变，则对应用户的访问策略不变。基于组的策略控制有两种方式：1.基于组和 IP 的策略控制：入方向策略：匹配目的地址为指定 IP，源为特定 user-group 中的用户的流量，则用户授权 user-group 不变，策略无需改变，用户权限相同。出方向策略：匹配源为指定 IP，目的为特定 user-group

44、 中的用户的流量，则用户授权 user-group 不变，策略无需改变，用户权限相同。以上方式需要明确用户访问的特定 IP 地址范围，适用于南北向流量精细化管控场景，可以设置用户访问特定资源服务器或者特定外网地址的流量控制策略。2.基于组和组的策略控制：入方向策略：匹配 user-group 与 user-group 中的用户的流量，则用户授权 user-group 不变，策略无需改变，用户权限相同。出方向策略：匹配 user-group 与 user-group 中的用户的流量，则用户授权 user-group 不变，策略无需改变，用户权限相同。以上方式不需要明确用户访问的特定 IP 地址范

45、围，只需要明确用户访问哪些分组的用户，适用于东西向流量精细化管控场景。4.5 网络安全可信4.5.1 全光设备接入安全1.ONU 接入安全ONU 白名单机制主要提供 ONU 的安全管控，避免非法 ONU 随意接入网络。当 OLT 开启自动绑定功能之后，ONU 若不做管控，则会不受控制，全部向 OLT 进行自动注册，给网络带来安全隐患。因此业界做法是采用白名单机制，即在 ONU 向OLT自动注册之前，先对ONU的身份进行校验，校验通过之后才允许注册到OLT上，校验不过的 ONU 拒绝接入 OLT。在全光交换机上为 ONU 认证配置 MAC 认证，配合 AAA 可以实现 ONU 自动认证自动创建账

46、号，免去搜集 ONU 地址的过程。37384.5.2 SDP 零信任网络1.SDP 零信任网络定义随着全球对数据安全的重视，园区用户访问园区数据资源的安全性需求越来越多，传统的网络防护边界已经不能满足数据安全性的需求。为了解决以上问题，SDP 零信任技术应运而生。SDP 零信任核心思想为不信任任何人、设备以及系统，对所有访问受限资源的用户进行持续动态认证和最小权限授权。SDP（Software Defined Perimeter，软件定义边界）零信任功能是指设备作为SDP 网关与 SDP 控制器联动，对访问指定 APP 或 API 的用户进行身份认证和鉴权，做到授权细粒度控制，以实现对用户身份

47、和访问权限的集中控制，以用户身份为边界，做到每次访问，重新认证，重新授权，防止非法用户访问，提供更高的安全性和灵活性。图 23 SDP 零信任示意图2.SDP 零信任典型应用场景在校园场景中，多数终端的接入属于松管控接入，访问数据中心的安全问题更为突出。SDP 零信任应用在智融全光校园场景中时，采用如下方式：SDP 零信任网关SDP 零信任网关是负责为有权限的用户提供资源访问服务的设备，作为边界设备连接用户和数据资源。SDP 网关不进行用户身份认证，仅对 SDP 控制器授权的用户提供资源访问服务。2.PON AP 接入安全在 PON AP 接入无线 AC 前，需要先在 OLT 上进行注册，完成

48、与 ONU 相同的接入身份校验，校验通过之后，仍可以进行无线 AP 的接入安全验证，包括自动 AP 的认证功能和手工 AP 功能。在智融全光校园场景中，SDP 网关为数据中心与园区互联链路上的防火墙设备，对于园区内访问数据中心资源的用户进行验证和策略控制。需要为 SDP 网关分配 1 个内网能访问的地址；同时，需要在防火墙调整策略，禁止通过内网访问数据中心资源的ACL 策略；访问数据中心资源必须通过 SDP 网关才能访问。SDP 控制器SDP 控制器是负责对用户进行身份认证和对用户访问权限进行鉴别的设备。SDP 控制器有自己的身份和权限管理系统，管理员可以在 SDP 控制器中配置用户的身份信息

49、以及对资源的访问权限，也支持创建统一的身份体系，支持 MFA 多因素认证方式，可依照客户现有的身份管理系统如 AD 域、LDAP、OpenID 等同步账号信息和组织架构，确保用户身份合法。在智融全光校园场景中，SDP 控制器建议独立部署在网络管理区，与 SDP 网关和SDP 客户端 IP 可达，对用户不可见。SDP 客户端SDP 客户端负责终端监控、环境感知，并将数据上报 SDP 控制器，并根据认证结果提供用户数据的加解密。在智融全光校园场景中，SDP 客户端为 iNode 客户端，需要用户使用的终端上安装，支持 PC 端和移动端的安装版本。图 24 校园场景 SDP 零信任典型应用3940S

50、DP 零信任完整流程:零信任客户端单包访问零信任控制器进行 SPA 认证，认证后零信任控制器返回零信任网关地址；零信任控制器将用户权限和策略同步零信任网关；零信任客户端向零信任网关发起 SPA 认证，认证通过后建立安全加密隧道；用户访问数据中心资源，零信任客户端对数据加密发送，零信任网关对数据作校验，校验通过后转发；零信任客户端不断同步用户操作信息给零信任控制器；零信任控制器根据零信任客户端上报的用户行为，动态同步用户权限和策略给零信任网关。图 24 校园场景中，零信任网关已经同步用户的权限和策略，允许访问 APPx，并与客户端建立了安全加密隧道，用户访问 APPx 的流程如下：用户访问数据中

51、心 APPx，数据加密发送到零信任网关，网关根据用户权限和策略允许流量转发；客户端同步用户行为给零信任控制器，用户存在攻击或异常行为；零信任控制器动态调整策略为禁止访问 APPx，并通知零信任网关；用户不能再继续访问数据中心 APPx。3.SDP 零信任原理SDP 零信任支持 Web 接入、IP 接入和混合接入三种访问方式，可分别适用不同的用户需求。SDP 零信任方案默认拒绝一切连接，对用户动态认证、动态授权、实时审计。零信任方案完整实现流程如图 25 所示：图 25 零信任方案完整实现流程图4.6.2 智能运维智 融 全 光 园 区 解 决 方 案 通 过 SeerAnalyzer-Camp

52、us 实 现 智 能 运 维。SeerAnalyzer-Campus 通过采集设备运行状态、用户接入及在线状态、业务流量等实时数据，通过大数据分析技术和 AI 算法智能判断故障的发生，主动感知网络的潜在4.6 网络智能运维4.6.1 基本监控运维此功能需要部署基础网管。对于已经纳管的全光设备，可以对设备进行运维监控，并支持进行版本升级、配置备份恢复等功能，协助分析园区的业务部署问题。对于已在网运行不适合进行自动化纳管的网络设备，或者不支持自动化的设备，需要先手工纳管才能进行监控。智融全光园区中需要使用的基本运维监控功能包括：性能监控，包括三类指标监控：系统指标监控、接口指标监控、IP 报文指标

53、监控；设备版本升级；配置管理，包括配置部署、配置备份、配置业务对比和配置恢复。上图中各组件功能详细说明如下：同时 SDP 零信任方案还具有全网日志审计能力，并可以通过历史数据进行用户行为分析，发现高危和异常行为。4142风险，分析故障的根因并给出解决建议。SeerAnalyzer-Campus 针对全光网络的独有特性包括：光模块故障诊断和预测，为以太全光网络大规模的光模块的维护提供了有效数据和手段。OLT 单板 Telemetry 采集为 EPON 网络提供了 OLT 统计数据。PON 运维为 EPON 网络的 ONU 运维提供了运行数据统计、光链路拓扑、光功率变化分析等，并逐步对 PON 网

54、络中的典型问题实现自动识别、分析，并提供解决建议。1.光模块健康以太光网络方案中使用大量光模块，光模块不间断工作会导致性能下降，链路不稳定等问题。通过采集光模块的功率、温度、电压等数据，评估光模块的健康度得分，直观体现分级健康度光模块，并可以展示光模块详细历史数据，便于定位问题。图 26 光模块健康评估原理2.OLT 端口统计将 OLT 端口流量进行统计，可方便查看 OLT 端口工作状态。图 28 光模块故障预测页面示意图图 27 光模块健康度评估页面示意图基于指数平滑算法，参考新华三光模块故障处理的多年历史经验数据，对现网光模块的故障概率进行预测。4344核心产品智融全光园区5新华三全光以太

55、网交换机和 PON 网络产品款型丰富，下图为主推产品全家福。图 29 全光网络方案核心产品全家福4546下表是目前支持全光网络的详细设备型号，后续将持续推出更多产品支持全光网络。表 1 全光网络方案产品型号明细产品 部署位置接入层汇聚层核心层以太网全光交换机S5130S-28F-SIS5130S-28F-EIS5130S-52F-EIS5560S-28F-EIS5560S-52F-EIS5170-36F-EIS5570S-36F-EIS5570S-54F-EIE500C-F（其中 E552C-X-PS-F 具有集中供电功能）FS5100-EI(其中FS5100-52F-EI-PS 具有集中供电

56、功能)S7500X 系列S5560X-30F-EIS5560X-54F-EIS5560X-30F-HIS5560X-54F-HIS6520X-SI/EI/HI 系列S10500X/S10500X-G 核心 交换机S7500X 系列EPONET304-AET304-C-AET354-AET354-PET358-PET358-POTSET904-AET904-HET904-H-PET916-H-AET908-H-PQET908-H-PDET908-H-P-WET924-H-POE12 口 10G EPON OLT 单板 24 口 EPON OLT 单板 8 口 EPON OLT单板 盒式 OLTS

57、3210-16 盒式 OLTS3210-08产品 部署位置接入层汇聚层核心层GPON无线产品EGT354EGT354-PEGT302EGT358-PEGT358-POTS(WIFI6 AP)WA6628WA6528WA6526WA6622WA6620WA6322WA6320WA6320-SIWA6638WA6636WA6338-HIWA6338WA6530WA6520-HIWA6320-HIWA6320HWA6322HWTU630WTU630HWTU632H-IOTWA6630XWA6620X（室外）框式 OLT P350016 口 GPON OLT 单板盒式 8 口 GPON OLT P31

58、08盒式 16 口 GPON OLT P31164748无线产品产品 部署位置接入层汇聚层核心层(Wi-Fi6 以太全光 AP)WA6530iWA6522WA6520WA6320H-HIWA6638i（PON 与 Wi-Fi 6 融合 AP）WA6520H-EGPONWA6320H-XEPON部署案例智融全光园区649506.1 中南大学：6 大校区高性能全光网升级项目背景中南大学坐落于湖南长沙，是教育部直属的全国重点大学，也是教育信息化和智慧校园建设的先锋部队。中南大学信息化建设“五个一”工程：有线无线一张网、应用支撑一集群、数据业务一体化、办事服务一站式、网安技术一体系。身为大型高校，中南

59、大学的用网需求自然不小。要在总计数百公顷的六大校区内为两百多栋建筑、数万师生、海量的各类业务和广泛分布的物联网设备提供网络支持并不是件容易的事，并且这张网络还要在高性能、灵活扩展的前提下满足校方对易运维、强管理的需求。因此，校方以新一代高性能全光网为抓手，构建有线网、无线网、物联网、PON 光网络融合的“一张网”，实现校园智慧化管理和便捷的信息化服务。方案价值超宽互联，简化架构在中南大学 6 个校区之间规划了一个互联及出口带宽均达双 100Gb/s 的高规格光通讯骨干环网，将万兆规格光纤接入每间宿舍，教室以及办公室区域。相对于传统网线传输，全光网络的优势不仅在于单股光纤的承载能力更高、衰减更小

60、、传输距离更长，也在于以分光器为代表的众多网络节点设备均可采用纯物理方式运作，无需电源、更易于维护。并且，在全光网络极高的承载能力和新华三万兆 PON 交换机的配合下，未来的网络架构变更、节点新增和速率变化均异常简单，只需简单的设备部署或软件控制即可实现，极大降低了校方的网络运维成本。一体化管理，轻松运维更高的带宽、更灵活的组网、海量的设备和流量，意味着更多的管理需求、更大的工作量和更高的成本。在新华三基于 SDN 技术的智能运维能力加持下，中南大学的网络运维工作却变得更简单。通过部署基于 SDN 技术的新华三敏捷型交换机，中南大学可在网络管理中控室直观获得整个校园网络内外部的连接情况，也可根

61、据管理需求，实现网络策略应需而变。AD-Campus 内置的大数据和人工智能平台，对网络瓶颈、故障发生原因以及潜在安全风险进行自动化的预测和预警，网络排障工作缩短至小时甚至分钟级别。作为国内高校领域内目前最大规模的光纤入室万兆网络，中南大学 PON 全光网络覆盖宿舍、教室以及办公室区域，光纤入室房间超 13500 间。6.2 浙江大学：打造以太全光智慧校园项目背景随着教育信息化深层次的推进，智慧教室作为教育改革的支撑势在必行，本次项目力图打造一套高速、可靠、融合的智慧教室网络，满足学校各类应用发展的需要。浙江大学原有网络面临着如下痛点：管理复杂多网并存，设备堆砌，统一管理困难。运维困难线路杂乱

62、，影响美观，故障点难发现。体验极差高带宽和多并发业务增加，智慧教学实时性得不到保障。方案价值本次项目新华三采用以太全光交换机组网，光纤入室实现高带宽接入需求，室内交换机采用 24 口无风扇静音设计，在实现智慧教室多个终端高速接入的同时，保障全校师生的良好互动体验：图 30 浙江大学以太全光智慧校园组网图51526.3 南京邮电大学：以太+PON 全光校园网项目背景南京邮电大学学生宿舍等区域的承载网络建设时间早，网络桥架和线槽基本已经满载，无法承载新业务的扩展和高带宽的接入。多家运营商在南邮宿舍各自部署自家网络，学生宿舍上网数据不经过校园网，导致认证流程复杂、运维管理困难，给网络信息安全也带来了

63、一定的威胁。作为江苏省智慧校园示范校，南京邮电大学以其在通信行业的专业能力吸引了万千学子，如何为全体学生提供稳定、流畅、高速的网络成为未来智慧校园建设的首要任务。南京邮电大学在学生宿舍及教学楼区域采用全光技术进行承载网改造，全面落地以太+EPON 光网无线融合建设。图 31 南京邮电大学以太+EPON 全光组网图超宽体验光纤入室，1G 超宽接入，10G 上行至汇聚，满足智慧教学带宽需求；静音承载，对教学零干扰。简化管理多校区网络统一纳管，多种网络设备统一管控。高效运维网络设备一键部署，全光布线，光链路故障快速识别诊断。方案价值新华三为南京邮电大学打造全光校园网，实现高带宽、高性价比、无源化的建

64、设目标：超宽互联1 比（24-32）不同的分光比，打破了建筑对校园网络高速运转造成的壁垒，保证每个教室、宿舍拥有不低于 300Mbps 的总带宽。有线无线一体化管理核心交换机集成 AC 功能，支持最新的 Wi-Fi 6 AP，提供更高的速率和并发数，完成有线无线一体化组网。节省投资宿舍楼中间段分光器无源，中间层和接入层无需专门的安装环境，大量节省机房、供电和水平布线成本，并消除弱电间火险隐患。简化运维全网只需运维 BRAS、核心交换机、OLT，网络结构简化，ONU 即插即用零配置上线，减轻校方运维压力。丰富的安全策略BRAS设备旁挂至核心交换机，对PC端和哑终端进行统一准入控制，学生通过认证后

65、，方可访问内网，极大减少网络安全隐患。6.4 青海大学：PON 全光校园网项目背景近年来，青海大学对教育信息化建设高度重视、持续投入，不断提升智慧校园建设管理水平。基于对教育信息化理解的先进性和前瞻性，青海大学从顶层规划出发，立足当下，着眼未来，携手新华三集团联合建设智慧全光校园，满足学生宿舍上网需求的同时，提升学生的上网体验，并能以一次建网，适应学生不断新增的终端设备和上网需求，为更好地支撑下一代校园网应用起到了示范作用。方案价值新华三采用 10G EPON 对称的技术方案建设智慧全光校园宿舍网，实现网络数字化、智慧化的转型升级。万兆互联，高速上网采用万兆光网络 Wi-Fi 6+整体解决方案

66、，通过在每栋宿舍楼弱电机房部署一台S7506X-S 交换机，并以万兆 OLT 插卡下联分光器，实现万兆互联。5354有线无线一体化立足学生多元化的用网需求，通过有线无线一体化的方式，将 ONU 部署在宿舍楼道多媒体箱内，同时 ONU 采用 8 口万兆对称的 ET908-H-P 设备，每个 ONU 联接 4-6台 Wi-Fi 6 AP 入户，AP 采用先进的 WA6320 产品，该 AP 布放在宿舍内门头位置，并通过 AP 上的四个电口链接至学生办公桌前，满足学生在宿舍有线和无线上网需要。学生可以随时随地通过手机、PAD、电脑等接入网络，获得良好的上网体验。无源 ODN，低碳节能，简化运维接入层

67、和中间层设备采用 ODN 无源网络，楼道的网络设备不再需要专属的安装环境，为青海大学节省机房、供电和水平布线建设费用超过 30%；同时，部署光网络使得光纤布线更加美观，后续网络升级无需重新布线，大大简化运维工作。6.5 西南石油大学：PON 全光校园网项目背景西南石油大学，是国家“双一流”建设高校和新中国创建的第二所石油本科院校。学校的网络设备至今上线运行超过 10 年，而线路使用年限已经接近 20 年。随着设备和线路的老化，校园内一些区域开始出现由于线路老化导致网络访问不稳定、线路带宽无法满足部分使用场景需求、以及设备老化故障增多等问题。从 2020 年调研新校区网络建设方案开始，西南石油大

68、学网信中心的老师们就已经确认了对新建网络采用全光网技术的建设思路。在对比多家解决方案提供商后，新华三集团成为老师们认为最好的选择之一。方案价值超宽接入，有线无线一体化，最大传输速率提升近 3 倍完成了光纤到寝室的改造，实现了物理链路带宽支持万兆接入。同时通过有线和无线的一体化升级，无线全面支持 Wi-Fi 6，最大传输速率提升了近 3 倍，并且采用 WAP3而具有更高的安全性。无源 ODN，减少故障点，降低运维成本全光网通过分光器真正实现了“中间网络”无源连接，从运维的角度来说，减少了故障点，为网信中心运维工作节省了不少人力成本。即插即用，网随人动，极简运维新华三通过创新的硬件平台，实现以太/

69、PON 两种光技术的完美融合，为复杂的校园网络实现即插即用、网随人动、终端管控、自动排障等极简运维体验。6.6 南昌交通学院新校区：宿舍区万兆对称 PON光网络项目背景作为经国家教育部确认的全日制普通本科层次独立学院，为适应学校高水平建设和发展需要，南昌交通学院在靖安新建了墨轩湖校区。基于南昌交通学院的网络建设需要和学校信息化十四五规划，新华三集团为南昌交通学院新校区的整体智慧校园建设提供了完整的解决方案。其中，由于宿舍网南北向流量大，且运维工作较繁杂，校方采用了新华三智融全光万兆PON方案建设宿舍区网络，为学生们提供高质量的上网服务。方案价值万兆光网，无线融合，打造高速的宿舍上网体验本次建设

70、中，学生宿舍楼栋采用 10G PON 对称模式（上下行 10G 带宽）进行基础网络建设，每间宿舍采用商用芯片的 Wi-Fi 6 与 ONU 的融合 AP，全面落地光网无线融合建设方案，为宿舍无线网络稳定保驾护航。本次采用的融合AP设置了4个下行口，满足宿舍四人间的有线接入需求。通过1:16的分光比，保障宿舍拥有几百兆的高速带宽，全面提升宿舍区学生上网体验。目前整个宿舍区上网速率高、无线信号稳定，获得了学生的一致好评。统一运维，灵活运转，提供便捷灵活的校园管理方式为充分发挥 PON 光网络优势，新华三集团在南昌交通学院部署了大二层的网络架构，通过 OLT S7510X 设备连接到全网两台 BRA

71、S 核心 CR16000-F，实现无多层汇聚的简洁架构，简化用户运维，提供集中的业务控制和管理。项目中部署的新华三BRAS 设备具有运营商级别高并发能力，采用高可靠的硬件设计，支持先进的虚拟化技术，满足 5 万终端 3 分钟内快速上线的能力要求，结合 WEB 降噪和防攻击技术，解决用户认证页面不弹出的难题；业界独创的 BRAS Https 报文解密技术，解决手动点击 Https 页面无法重定向的问题。因此，以 BRAS 设备为核心，更加充分发挥其高性能、稳定性、可靠性等优势，对全网进行便捷有效的管理。为方便客户使用，通过高性能交换机集成 OLT 板卡，节约用户运维学习成本，方便用户操作管理，且

72、通过统一运维管理软件 iMC 及瘦 AP 的方式，结合高性能 AC 控制器 WX5560H 给宿舍区千余台 Wi-Fi 6 ONU 融合 AP 设备进行配置策略的下发和管控，扁平大二层架构，部署简易，运维方便扁平大二层网络架构，使得功能区分更清晰，部署更简易，大幅降低了学校在安装、施工、布线和设备管理方面的工作量，节省降低人力和时间成本。5556通过全网统一运维管理软件 iMC，统一可视化管理全网上千台交换机及无线等网络设备，实时了解各区域设备运行状态，协助运维人员对全网设备进行统一管理和监控，实现使用人员、业务控制的集中化，减少运维人员的配置管理压力，全面提升运维体验。6.7 广东工程职业技

73、术学院：清远校区 PON+以太全光校园网项目背景作为广东省示范性建设高职院校，广东工程职业技术学院肩负培养高新技术人才、助力广东经济产业发展的重任。为缓解经济发展对技术型人才需求激增的压力，广东工程职业技术学院逐年扩大招生规模，在原有的广州天河校区基础上，筹划新建了清远校区。作为承载学校教务系统和学生业余休闲使用的校园网络基础设施，在新校区建设的过程中面临诸多挑战。经过多方调研后，学校选择了携手新华三集团建设部署 10G EPON网络，推动校园网络迈向数字化和智能化。方案价值在方案设计和具体实施过程中，需要考虑到高扩展、大宽带和泛在接入三大刚性需求。首先，要满足未来 5-10 年在校师生的教学

74、活动和日常使用；其次，要保证数万用户同时使用时的网络稳定，并满足 4K 视频、VR、AR 等多元化教学方式；最后，要支持PC、服务器、打印机、手机等各种多样化终端的实时接入需求。对此，新华三带来了打破旧有网络架构的全新解决方案，对整体网络设施进行了重新部署和升级。高扩展新华三集团智慧全光校园网提供的 2 台 12508G-AF 园数融合的高端交换机，足以一次性满足未来 5-10 年的教学业务发展，同时新华三独有的融合 OLT 板卡的 7606 框式交换机，通过分光器连接 3700+台 ONU 设备，可满足园区多个教学楼、宿舍楼的海量接入需求。大带宽学校整网有线网络采用千兆接入+万兆互联的组网，

75、无线支持 Wi-Fi 5、Wi-Fi 6 的高速接入，网络带宽无阻塞；同时可向 40G、100G 平滑演进，不仅能满足海量接入，还可以与广州校区高速互联，访问广州校区的课件教务系统。泛在接入：采用有线无线一体化，支持 EPON 和 AP 融合接入；值得一提的是新华三为每个宿舍都部署了一台 EPON 设备，可以满足在校师生手机、PAD、PC 等设备同时联网，让师生们随时随地畅享极速流畅网络。客户证言“新华三集团智慧全光校园方案帮助我们建设了一个高速、便捷、无感知使用的校园网，并充分考虑了网络未来 5-10 年的可扩展性。我们的教职员工和学生不论在教室、图书馆、会议室还是宿舍、食堂等校园的任何地点

76、都可以接入网络、使用网络，为我们师生的教学和学习提供了方便、安全、易用的网络。同时，全光网络节省了布线空间，每个楼层无需维护弱电机房，大大减轻了运维人员的工作量。”谈及智慧全光校园方案给学校带来的改变，广东工程职业技术学院教育技术与信息中心主任朱靖如是说。6.8 烟台市口腔医院：万兆光网络升级项目背景随着烟台市口腔医院规模日益扩大，数据业务迅速发展，现有网络容量和性能越来越难以满足医院发展的需求，存在架构复杂、设备性能不足、扩展困难、业务部署缓慢及运维管理繁琐等痛点。方案价值采用新华三万兆光网络方案，在主楼核心机房数据中心区域部署防火墙、IPS、及安全一体机设备满足三级等保要求，部署一套无线控

77、制器承载在光网络上，为医护人员提供无线服务，部署 OLT 光网络核心设备，通过裙楼一二层弱电间分光器，将一条光纤分层若干条，将万兆光纤连接至各接入部门如分诊台，医技科室。5758架构先进本次组网采用更为先进的 10G 骨干网络，相比 1G、2.5G 组网，带宽更高。节约投资、故障率低采用 1 分 16 的分光器，相比业界传统的 1 分 8 的分光器，不仅节约投入，更减少网络故障率。混合组网、扩展方便采 用 的 核 心 设 备 除 可 满 足 10G 的 光 网 需 求，还 可 以 根 据 业 务 的 发 展 扩 展10GE/40G/100G 以太网。统一运维、快速排障滨州医学院网络设备由移动提

78、供维护，口腔医院可以更好的实现与滨医业务对接，网络故障可第一时间解决。图 32 烟台市口腔医院万兆光网络组网图缩略语759缩略语英文全称中文全称PONPOLSDNPoEONUAPOLTFTTHEPONGPONPassive Optical NetworkPassive Optical LANSoftware Defined NetworkPower over EthernetOptical Network UnitAccess PointOptical Line TerminalFibre(Fiber)To The HomeEthernet Passive Optical NetworkGigabit-Capable Passive Optical Networks无源光网络无源光局域网软件定义网络以太网供电光网络单元无线接入点光线路终端光纤到户以太网无源光网络吉比特无源光网络