标签： 科普-园区

网络监控是网络管理的重要组成部分，定期网络监控可以预防故障、优化性能、规划容量，确保网络的可用性、安全性等。相比较普通的监控工具，开源网络监控工具拥有可定制性、灵活性、可扩展性等优势，受到国内外众多企业的追捧，有哪些好用的开源网络监控工具，该如何选择呢？

一、盘点好用的开源网络监控工具

1、开源网络监控工具盘点

2、对比展现Prometheus优势

作为发行时间最晚（Prometheus发行于2016年）的开源网络监控工具，Prometheus有哪些优势呢？以传统的Zabbix为例，一起来对比吧！

二、Prometheus 是做什么的？

Prometheus 是一款免费软件，可帮助监控和发送有关计算机系统的警报，2012年已经产生并一直存在，并在公司和组织中变得非常流行。许多开发人员和用户积极为它做出贡献。它不属于任何特定公司，由共同工作的社区管理。2016 年，Prometheus 成为云原生计算基金会的一部分。

核心组件：

• Prometheus Server
• Exporter
• Alertmanager
• Pushgateway
• Service discovery

Prometheus Server是Prometheus组件中的核心部分，负责实现对监控数据的获取，存储以及查询。

1、工作流程

1. Exporter将监控数据采集的端点通过HTTP服务的形式暴露给Prometheus Server；
2. 在Prometheus Server中支持基于PromQL创建告警规则，如果满足PromQL定义的规则，则会产生一条告警，而告警的后续处理流程则由AlertManager进行管理；
3. Prometheus Server与Push网络需求无法直接满足时，就可以利用PushGateway来进行中转；
4. Service discovery：监控系统而言就意味着没有了一个固定的监控目标，所有的监控对象(基础设施、应用、服务)都在动态的变化。

2、Exporter

定义：广义上来讲，任何向Prometheus提供监控样本数据的程序都可以被称为一个Exporter，Exporter的一个实例称为Target。

若要从Target (host or service)收集监视数据，首先必须在要收集的Target上安装收集组件，称为Exporter，他们的官网（http://prometheus.io）上有很多Exporter：

– Consul exporter (official)
– Memcached exporter (official)
– MySQL server exporter (official)
– Node/system metrics exporter (official)
– HAProxy exporter (official)
– RabbitMQ exporter
– Grok exporter
– InfluxDB exporter (official)

可根据所监控的对象选取特定的Exporter：

工作方式：

– 注册指标：exporter需要定义要导出的指标及其相关信息
– 数据收集：exporter定期从系统或应用程序中收集指标数据
– 指标转换：exporter将收集到的指标数据转换为Prometheus的指标类型
– 暴露指标：exporter提供一个HTTP接口，通过该接口将转换后的指标暴露给Prometheus

3、告警产生以及推送

• Prometheus会周期性的对告警规则进行计算，如果满足告警触发条件就会向Alertmanager发送告警信息
• Alertmanager根据配置推送给对接的平台，支持对接多种平台告警推送

流程：

1. 告警路由：会根据事先定义的路由配置对告警进行路由。路由配置规定了如何处理不同的告警，包括将告警发送到不同的接收者（如电子邮件、PagerDuty、Slack等）、进行静默处理或者进行其他操作。
2. 告警抑制：Alertmanager会对接收到的告警进行去重处理，以避免重复通知。
3. 告警分组：Alertmanager会将具有相同标签或属性的告警进行分组，以便进行更有效的通知和处理。这样可以避免发送大量重复的告警通知，提供更清晰的告警视图。

三、示例：将Prometheus与AsterNOS结合

1、为什么使用Prometheus监控AsterNOS

2、效果展示

以星融元CX-M园区网络为例，使用Prometheus + SNMP + Grafana组合方案进行监控，能够采集系统运行数据，实现网络数据可视化以及网络架构拓扑展示。

园区方案

在AsterNOS设备上部署Node exporter，以HTTP接口的形式暴露AsterNOS的系统运行数据，Prometheus将主动Pull数据。Prometheus获取到数据后一方面用于评估告警规则——若产生告警将由Alertmanager推送给所对接的服务；另一方面落地到Prometheus服务器本地存储中。Grafana可以利用Prometheus所存储的监控数据来进行可视化展示。

以Node exporter所采集的数据作为来源展示

对于许多企业来说，Wi-Fi 已成为用户和终端的首选网络接入技术。与有线局域网相比，无线局域网具有许多优势，比如可靠灵活，还能降低拥有成本。无线局域网安装简单，可以移动，不受物理位置的限制，而且具有可扩展性。然而，这些优点也带来了一个非常明显的缺点：安全性。

Wi-Fi 的无边界特性，再加上一系列令人困惑的传统和现代身份验证、访问控制和加密技术，使 WLAN 的安全性问题成为企业网络运维团队普遍面临的重要挑战。

什么是 WLAN 安全？

WLAN 网络安全威胁可能导致数据被盗。为了防范这种风险，安全团队要建立机制，阻止通过无线介质读取传输或接收通信以及收集敏感信息（如个人信息、登录凭证或业务数据）的企图。

企业的IT团队可以使用多种方法保护 Wi-Fi 的安全通信。其中一些方法是在管理有线和无线通信的通用方法，比如企业级身份验证机制、通过MAC地址允许列表限制企业网络访问、基于网络和设备的防病毒和恶意软件服务，以及使用第三方 VPN。

什么是 WLAN 安全？

WLAN 网络安全威胁可能导致数据被盗。为了防范这种风险，安全团队要建立机制，阻止通过无线介质读取传输或接收通信以及收集敏感信息（如个人信息、登录凭证或业务数据）的企图。

企业的IT团队可以使用多种方法保护 Wi-Fi 的安全通信。其中一些方法是在管理有线和无线通信的通用方法，比如企业级身份验证机制、通过MAC地址允许列表限制企业网络访问、基于网络和设备的防病毒和恶意软件服务，以及使用第三方 VPN。

常见的WLAN威胁和漏洞

IP 和 MAC 欺骗

如果坏人成功连接到企业 WLAN，他们可以使用工具通过更改数据包头中的源 IP 地址或篡改允许列表设备的 MAC 地址来冒充或欺骗受信任的设备。反过来，接收设备可能会在不知情的情况下接受欺骗通信。DDoS 僵尸网络和中间人攻击是最常见的欺骗手段。

DNS 缓存欺骗/中毒

DNS 欺骗是指在 WLAN 上放置未经授权的设备，欺骗其他已连接客户端使用的 DNS 服务器。反过来，被欺骗的 DNS 服务器会将试图访问可信远程资源（如网站）的用户和设备重定向到恶意资源。

恶意接入点（AP）

当坏人部署了使用相同或外观相似的服务集标识符（SSID）的无线接入点时，就会出现这种情况。毫无戒备的用户连接到恶意设备，然后流量就会被捕获和监控，甚至被重定向到恶意目的地。这些非法接入点往往模仿公司 SSID，试图让公司设备连接到它，而不是合法接入点。

外部非法接入

当 WLAN 信号传播到公司围墙外的公共空间时，某些程序会自动搜索开放的或可利用的 WLAN，用于免费上网 不法分子可以利用这些来查找和窃取敏感的企业数据。

无线局域网安全最佳实践

企业应认真规划和执行统一的策略，以保护其 WLAN 免受数据丢失和未经授权的访问。虽然最终的安全选项取决于所需的保护级别和预算，但IT团队可以遵循一些重要的提示和技巧，比如明确谁需要访问什么以及何时访问？这里的对象包括集中办公人员以及远程办公人员。

按 SSID 区分 Wi-Fi 用户和设备

各部门和设备使用 WLAN 的方式各不相同。因此，团队不能使用相同的标准保护每台设备。例如，保护支持 WPA-Enterprise 的设备和只支持 WPA-Personal 的设备的一种方法是将传统设备逻辑地划分为单独的 SSID。分段后，团队就可以对安全性较低的端点实施访问策略。

访客 Wi-Fi。为只需要访问互联网的用户和设备设置一个单独的访客 Wi-Fi SSID。访问策略可以阻止这些设备与企业网络上的任何用户或设备通信，同时还能在网络边缘之外安全地传输互联网流量。

避免信号强度泄漏到不安全区域

安装在外墙附近的接入点应仔细设置其功率级别，以减少信号泄漏到附近的停车场或公共广场。这样做有助于防止外部无线干扰，减少未经授权的用户成功连接网络的机会。

恶意 AP 检测

大多数企业级 WLAN 平台都包含监控 802.11 无线频率范围的工具，以识别恶意 AP 或可能欺骗企业 SSID 的 AP。
802.1x 身份验证与 PSK。尽可能要求用户和设备使用 802.1x 而不是 PSK 进行身份验证。这减少了每年多次手动更改 PSK 的需要。它还能防止共享 PSK，因为共享 PSK 有可能导致黑客利用 Wi-Fi 未经授权访问企业网络。

网络局域网交换端口配置

在配置将无线接入点连接到企业局域网的交换端口时要考虑到安全性。将 AP 管理 IP 地址放在分段虚拟局域网上，只允许特定 VLAN 中继到 AP。使用静态或固定MAC 地址端口安全技术，防止有人拔下 AP 插头并将未经授权的设备连接到局域网。

新一代云化园区网络架构中的内生安全

结合新一代云化园区架构的内生安全特性，星融元云化园区网络可以提供多种接入终端安全管理能力，智能保障园区网络的安全性，为IT运维团队大大减少了花费在终端安全控制上的时间和人力成本。例如：交换机将主动跟踪任何接入终端与DHCP服务器之间的交互过程，并自动学习设备信息，非法终端产生的网络流量将在接入端口被直接丢弃，不再依赖手动配置安全策略。

此外，星融元云化园区网络支持与多种主流安全认证系统的对接。

AAA（Authentication Authorization Accounting，认证/授权/计费）是目前主流的认证框架体系，由接入用户、接入设备、认证服务器三部分组成，接入用户是需要获取网络访问权限的实体，接入设备一般是交换机，负责验证用户身份和管理用户接入，认证服务器负责管理用户信息。AAA可以通过多种协议来实现。

在与接入用户交互阶段：星融元云化园区网络支持802.1x（有线终端）、MAC（哑终端）、Portal（无线终端）三种认证方式。

在与认证服务器交互阶段：星融元云化园区网络支持主流的RADIUS、TACACS+两种认证协议，支持认证/授权/计费功能。

实践应用中，星融元云化园区网络和知名的开源软件FreeRADIUS进行了全方位适配开发，也和ForeScout、ClearPass、ISE等主流商用认证系统成功对接。

更多有关企业园区网络的产品和方案信息，请参考：云化园区网络解决方案

Wi-Fi 一直是企业网络的重要组成部分。对于许多企业网络环境来说，WiFi 是大多数终端设备的主要接入方式。当终端用户连接到一个稳定的无线局域网时，最好的感知就是没有感知——因为一切都能顺畅运行。这就意味着无线局域网必须可靠，其设置必须能够支持运营目标，而这些目标可能因个别网络情况而异。

无线接入点的部署

任何无线局域网的成功配置都取决于从物理和逻辑角度对组成网络的接入点进行的科学布置。通常情况下，我们需要关注以下几点：

以空间需求和业务目的驱动 Wi-Fi 规划和设备选型

好的 Wi-Fi 设置并不是随随便便就能实现的，尤其是在大型或技术复杂的环境中。有时，IT 团队会将无线接入点（AP）安装在简单方便的区域，而不是将接入点放置在需要达到最佳性能的地方。一旦出现这种情况，最终用户体验不佳几率就会成倍增加。

不同的网络目的通常会产生不同的网络设计和接入点布局。例如，使用基于 Wi-Fi 的定位服务、提供访客访问的WLAN和为终端提供服务的 WLAN 会产生不同的设计，正确的 Wi-Fi 接入点布置取决于每个网络设置的政策、具体情况和运营目标。

灵活规划无线接入点的物理位置

不同组织在规划无线接入点的布置和物理安全时并没有一套统一的指导方针或建议可供遵循。比如有些环境需要带锁的机柜或单独的隔绝外部的空间。而在另一些环境中，机柜则是一种浪费，因为机柜的成本甚至都会高于无线接入点本身，或者已有安全摄像头覆盖了该区域，或者该空间本就不对公众开放。

在放置无线接入点时，经常出现的错误是过分关注隐藏无线AP，这使得以后很难对其进行维护。另一个错误是将接入点安装在易受攻击的区域，它们可能会被容易被非官方人员操作修改或被机器或其他设备以外撞到。

根据业务类型考虑接入点的合理布局

如今，大多数无线网络都是多用途的，它们可能会生成不同的SSID分别用于提供语音服务，供访客或受管理的企业笔记本电脑接入使用，但所有这些其实都由相同的接入点设备提供服务。每个 SSID 通常相当于一个特定的虚拟局域网，需要根据使用该 SSID 的客户类型进行安全配置。

严格控制设备管理权限

在企业网络环境中，很少会在客户端设备使用的网络上管理 AP。AP、交换机、闭路电视摄像机和一系列其他设备通常在严格控制的 IP 地址空间内进行管理，无论是使用防火墙还是访问控制列表，这些设备通常都与互联网和网络的其他部分隔绝，只有一小部分管理员可以访问这些设备，而且只有在满足双因素身份验证要求后才能访问。

监测非法接入点

无论 WLAN 如何满足操作要求，有些人可能会将无线路由器或 AP 连接到企业网络内的局域网，而他们根本没有必要这样做。个人的无知、对政策的无视或纯粹的恶意都可能促使非法无线网络设备的加入。无论这些设备出现的原因是什么，都必须提前制定应对策略。哪怕不并非寻找安全漏洞，不受控的无线接入点也会产生高强度干扰，阻碍合法用户使用企业 Wi-Fi 系统。

要最大限度地减少非法接入设备的出现，首先要制定并传达明确的政策。在这之后检测是关键，这就需要持续监控 Wi-Fi 频谱，查找可疑的信号来源。

更深层次的优化思路——架构升级

在无线接入点部署以外，我们也可以深层次地从网络架构的优化来提升无线网络的使用体验，并简化企业网络中的安全管理。例如采用分布式网关提升无线漫游的效率，简化前期部署和后期的动态维护工作。此外，架构本身自带的内生安全特性也可大大减少手动配置安全策略等枯燥又易错的运维工作。

什么是分布式网关？

星融元云化园区网络解决方案搭建是一个全三层的IP网络，一个子网的网关会以分布式的形式存在于每一个接入交换机上。它充分利用每一个接入层设备的能力，所有的跨子网转发动作在最近的分布式网关上完成，让网关功能不再成为压垮网络中某一台设备的潜在风险，同时大幅度提升整网的转发效率。

对比传统的无线方案，设备发生AP漫游后的流量不再需要绕道转发，也无需在配置前期考虑网络划分的问题——网络管理员只需要在网络初始化时一次性配置好所有分布式网关的信息即可，无需在运行过程中动态调整，进一步降低运维的复杂度。

接入终端安全控制

结合认证系统和内生安全特性，星融元云化园区网络可以提供多种接入终端安全管理能力，智能保障园区网络的安全性。例如：交换机将主动跟踪任何接入终端与DHCP服务器之间的交互过程，并自动学习设备信息，非法终端产生的网络流量将在接入端口被直接丢弃，不再依赖手动配置安全策略。

当今的企业生存和死亡取决于他们快速构建、启动和改进应用和服务以实现业务目标的能力。NetOps和DevOps是支持软件持续集成，交付和部署的互补概念。

DevOps是什么？

DevOps 是一种与敏捷方法相关的软件开发方法，开发人员和系统管理员一起工作，不断构建、测试、交付和改进应用和服务。支持者表示，与使用传统的、市场缓慢的瀑布模型的孤立开发和运营团队相比，DevOps可以更好地跟上当今企业的数字需求。核心 DevOps 原则包括协作、自动化、持续集成 (CI)、持续测试和持续交付 (CD)。

NetOps是什么？

从历史上看，术语 NetOps 是网络操作的简写，即与维护、监视和排除网络故障相关的活动。但是，今天，NetOps通常是指在网络中使用DevOps原则和工具。这种现代方法也被称为NetOps 2.0，DevNetOps，NetDevOps，网络即代码和Super-NetOps。 NetOps 2.0 结合了网络自动化、编排和虚拟化，将基础架构视为代码 (IaC)。这将产生更灵活、可编程和可扩展的网络基础架构，需要更少的手动干预，并且可以跟上 DevOps 设置的加速步伐。 在某些情况下，IaC 使 DevOps 团队能够通过自动化和自助服务在整个开发和测试阶段管理应用程序的操作环境。通过将网络转移到 CI/CD 管道中，NetOps 有助于提高软件开发生命周期 (SDLC) 的效率，并最大限度地减少后期部署问题。

NetOps 和 DevOps 之间的主要区别

DevOps主要是软件开发人员和系统管理员的职权范围，而NetOps是受DevOps影响的网络方法。DevOps 有助于快速高效的应用程序开发，而 NetOps 支持快速有效地部署这些应用程序。

星融元Asterfusion对NetDevOps可编程网络的支持

NetDevOps对网络提出了软件编程、软件定义、按需定制、运营优化的要求，而开放网络的理念与架构方法恰恰能够满足这些要求。NOS作为网络设备的“灵魂”，NetDevOps要求NOS从封闭、黑盒的体系向开放、透明的体系演进。

AsterNOS是星融元基于标准的Linux、以SONiC/SAI作为内核，为云计算时代构建的新一代开放、开源、以业务为中心NOS。AsterNOS SDK是星融元为满足NetDevOps需求为AsterNOS设计的一套开放网络的开发环境，能够支持开放网络的使用者在AsterNOS之上高效地运维网络和开发自己的网络应用。

传统网络运维的问题

1. 过于依赖人工。网络运维大多数是依靠网络团队在部署和维护交换机，而不是自动化；
2. 惧怕网络变更。运维人员认为在当前环境下做的变更会对整体网络环境造成极大运行风险；
3. 过于被动。大部分网络人员的精力都用于处理问题，而不是推进战略计划，而这些问题往往是手动更改配置时出错造成的。

传统网络运营实践的目标是最大限度地减少网络服务中断。因为从这些环境中发展出来的网络过于脆弱，无法适应服务的快速发展。经常进行变更就意味着会出现故障，这就导致了冗长的变更管理审查流程，网络团队对网络变化的普遍厌恶及日常存在大量补救性的被动工作。而NetOps 的主要目标就是解决这些长期存在的问题。

可编程网络NetOps 如何优化网络运维方式

理想情况下，它能帮助 NetOps 团队更成功地实现以下目标：

• 使运营更加自动化；
• 高度的敏捷迭代能力，而不是一味惧怕变化；
• 具有预见性，而不是仅做被动反应；
• 使网络具有弹性，脆弱。

NetOps 致力于在网络管理中使用更多维度自动化。比如临时的自动化脚本，通过代码管理、设置工具和实践标准，编写出可靠的脚本在网络中运行。另一些情况中则采用基于平台的自动化，如基于意图的网络（IBN）。

与传统的运维不同，NetOps下的网络团队反而是希望环境经常发生变化，不断将新服务投入生产并实现功能迭代，与其厌恶变化，这类团队会将注意力集中在尽量减少变化可能带来的副作用上。他们希望在测试部署中不断完善自动化后，在生产中使用自动化地启动新服务，并继续使用自动化工具快速纠正之前未遇到的问题，使环境的部署和更新变得更加顺畅和正确，使网络更加灵活弹性。

可编程网络NetOps与网络运维中心：非此即彼还是兼而有之？

NetOps 会取代现有的网络运营中心并使其过时，还是会重塑网络运营中心，使其更好地满足当前和新出现的需求？

当然是后者。尽管变化正在形成，但有两点是肯定的：网络运维中心是各个方面的核心。网络紧急事件仍会发生。如果没有网络团队的服务，大多数组织的业务都会迅速停止。设备和服务仍然会出现故障，外部不法分子仍然会发动攻击，不可预见的新问题仍然会出现。但是，随着 NetOps 的引入，传统的网络运维中心也将发生演变，主要是变得更加自动化。NetOps理念下的网络运维团队将随时准备好详细的自动化的指令编排手册。这些指令让团队以经过测试的并且可重复的方式尽快实施变更，而不会出现让事情变得更糟的错误。

最终，一个理想的自动化运维越来越有可能实现：针对检测到的问题，网络监控工具只需通过执行自动响应处理问题，同时向员工发出警报。虽然大多数企业的网络团队离全自动响应方案还有很长的路要走，但 NetOps 的迅速崛起正在使其成为一种趋势。

星融元的云化园区网络架构天然地支持NetDevOps。基于云化园区交换机所搭载的AsterNOS及其SDK、REST API，我们以下面一个安全运维场景来说明。

如上图所示，出于对安全的考虑，网络运维人员往往需要对重要的应用系统进行访问情况的审计与分析；针对这些应用系统，如果发生了访问控制的缺失、访问状况的异常，管理员希望第一时间得到通知，以便采取相应的动作。这些审计与分析的内容可能包括：网络对重要应用系统的访问是否进行了控制（以便判定该应用系统是否被保护）、对这些重要应用的访问情况是否发生了突然的变化（以便判定该应用系统是否处于可能的攻击中）等。

下面，我们就来看看通过AsterNOS SDK如何便捷、高效地实现这一需求。在网络中，访问控制一般是通过ACL（Access Control List，访问控制列表）实现的

AsterNOS支持ACL功能，并且能够提供所有ACL被命中过的统计数据；AsterNOS SDK所提供的REST API中，包含对ACL各个字段和统计数据的访问接口，通过调用这些接口，即可直接获得ACL的这些信息用以分析。具体思路如下：

1. 重要的应用系统可以用IP地址来标识（如果需要更精确地定义，还可以增加该应用所使用的TCP/UDP端口信息）；
2. 通过调用REST API，获得AsterNOS中当前配置的所有ACL的“目的IP地址”字段，以便判断所定义的重要应用系统是否被ACL进行访问控制；
3. 通过调用REST API，获得对这些重要应用系统的访问量的统计信息，以便判断是否出现异常状况；
4. 对于出现的访问控制缺失或访问异常状况，该程序自动通知管理员进行干预。

假设运行着AsterNOS的网络设备的管理接口IP地址和端口为192.168.1.200:4430，则上述思路的示意性伪代码可以如下：

这段伪代码仅用于示意，并未严格地写出循环、边界条件判断、具体日志与告警实现等。其中，“GET https://192.168.1.200:4430/rest/v3/acl/…”即AsterNOS SDK中获取ACL及其具体信息的REST API，“TABLE_y:RULEz:”dst_ip””和“TABLE_y:RULEz:“stats””即一条ACL的“目的IP地址字段”和“该ACL的命中数量统计”。需要强调的是，编程者通过AsterNOS SDK的REST API获得的已经是ACL的每一个具体字段及其值，无需再使用复杂的文本解析程序进行处理。
将这段非常简单的程序用Docker进行容器化封装，部署在AsterNOS中，并且自动化地定时运行，即可实现前文所述的运维需求，并且，通过对更多ACL字段与值的调用，即可实现更高级的运维功能。

更多有关星融元云化园区网络相关咨询，请参考：https://asterfusion.com/campus/

loT 为企业提供了更高的可见性、自动化和运营效率。已经开始研究部署 loT 的潜力的企业，必须了解各种 loT 传感器 以及这些设备如何与 loT 服务器应用程序连接和通信。

大多数人认为，loT 网络只需连接到传统的企业局域网即可。虽然这在某些情况下是正确的，但 loT 网络连接采用了更广泛的网络方法，并扩展了连接选项。

什么是传统网络？

传统企业网络通常由以下部分组成：

• 企业局域网。
• 无线局域网 (WLAN)。
• 广域网。
• 边缘互联网。

局域网和无线局域网是专用有线和 Wi-Fi 网络，通常部署在企业办事处和分支机构内。

广域网负责局域网和分支机构之间的安全连接；边缘互联网是入口和出口流量可以到达互联网的一个或多个点。

什么是物联网loT？

loT是一组与互联网相连的自主设备，企业可以部署这些设备来自动执行一系列与业务相关的任务。然后，数据通过互联网传输到中央存储库管理应用程序进行分析。根据 loT系统的作用，它可以利用分析后的数据启动自动响应或做出各种与业务相关的决策。

loT设备可以使用标准以太网、Wi-Fi 或大量其他有线或无线连接方式，以及基于标准或专有的网络协议。由于 loT 设备通常可以在低带宽链路上运行，因此这种多样性使部署具有更大的灵活性。

传统网络与 物联网（IoT）的区别？

loT 系统也需依仗网络连接来运行——loT 系统中的设备一般是依靠网络连接来捕获数据，并将数据传送到中央服务器进行分析。loT 设备还可以根据集中式 loT 管理系统驱动的流程，对各种反馈做出反应。然而，与传统的企业组件不同，loT 架构和设备可以分布在广泛的地理范围内。

企业通常在传统的企业有线和 Wi-Fi 网络上安装 loT 传感器，以实现通信接入。不过，企业也可以在非传统网络上安装 loT 传感器，包括公共和专用蜂窝网络、蓝牙、Zigbee 和长距离广域网。

用户还可以在家庭网络中放置 loT 设备，只要它们能通过互联网接入 loT 管理服务。正因为如此，loT 的扩展范围远远超出了传统网络的覆盖范围，使其成为网络部署的灵活选择。

物联网（IoT）对企业基础网络的需求

传输层是物联网设备实现连接的通道，承担连接终端设备、边缘、云端的职责。随着物联网设备数量快速增加，应用场景日益丰富，市场对网络连接能力提出了更高的要求。

无线传输通信技术是物联网行业的主要发展趋势。物联网的传输层负责将感知层识别和采集的信息进一步传递，其中涉及到多种网络通信技术，通信技术可分为无线传输技术和有线传输技术，而根据实际应用发展情况，无线传输是主要发展趋势。

星融元云化园区方案将先进的云网络技术引入园区，创新性的分布式网关技术革新无线漫游的效率和工作方式，结合有线网络架构的高带宽、高可靠、高弹性扩展设计，为海量用户终端、物联网设备以及后端服务平台提供稳定的高速互联能力。

凭借在底层架构上的革新和对网络运行机制层面的创新优化，星融元的云化园区网络大大简化了网络开局阶段的配置工作和日常运维工作，对比传统的园区网可降低TCO（总拥有成本）超过40%。

此外，与市面上大多数厂商不同，星融元的园区网络设备采用容器化的架构，并提供了丰富的软件可编程接口（API）。这些特性为网络应用的扩展、对接集成各类网络自动化工具和后端AI驱动的物联网运营分析平台创造了绝佳条件。

云化园区网络解决方案

随着数字化转型的需求变得日益明显，企业也需要重新考虑自身的网络基础设施。

现企业网络已成为许多公司的焦点，显然，数据中心战略需要改变，尽管新冠大流行已趋于温和，很多员工也回到了办公室工作，但本地和远程双线并存的工作环境依然存在，继续给网络现代化项目带来压力。

企业需要新的网络架构来推动更高的带宽、更精简及易扩展的网络。换言之，现代化的网络和应用对于保持企业竞争力至关重要。以下是几个需要考虑的重要方向：

云化转型

企业将网络基础设施和应用迁移到云平台，如公有云或混合云环境。云化转型可以提供更高的灵活性、可扩展性和可靠性，同时降低成本和管理复杂性。

云计算使企业能够从资本支出和折旧的模式转变为基于消费的 IT 模式，从而提升效率，开发和部署时间都有很大程度的缩短。向云计算迁移往往是一项艰巨的挑战。但是，从托管服务入手是一种不错的转型手段，它同时还能让运行在本地的应用程序为未来的迁移做好准备。在这方面，除了软件即服务（SaaS），网络即服务（NaaS）也是一种值得考虑的产品，它通过将一些网络功能转移到云中来减少对基础设施的需求。于此同时，围绕多云战略构建业务应用程序变得更加重要。

什么是网络即服务（NaaS）？它的优势、特点及其替代品又是什么

引入容器架构

随着“以消费为中心的”业务模式的深入人心，无论是在企业本地设施还是通过云服务，容器架构都能以更高效的方式提供网络服务，供应用程序消费。 此外，与布满物理服务器甚至虚拟机的网络相比，容器网络的占用空间要小得多，更适合轻量级工作负载和基于服务的实例。

现在正是企业回顾其虚拟IT环境的大好时机，来确定哪些工作负载适合从虚拟机迁移到容器，从而降低对基础设施需求并提高资源利用率。

投资更大的带宽

像 SDN 这样的战略有助于网络的配置和管理。但有时问题并不仅仅在于路由够不够智能，而是简单地由于物联网和多媒体应用堵塞了网络管通路，因此企业需要更多的网络容量。

数据、应用和服务的激增，无论是服务器，还是服务器到客户端的流量，都给网络路由带来了压力。下一代有线的网络，即 2.5 Gbps 客户端网络和 10 Gbps 或 25 Gbps 服务器网络。这将为处理激增的数据和应用需求提供更快的网络路径。如果从核心网络入手，满足这一需求的成本通常会很高，而如果从边缘网络入手，影响则会较小。对大多数公司来说，真正物有所值的是汇聚层，在这里增加更多网络容量有助于优化整体流量拥塞状况。

一文梳理新一代云化园区网络建设方案-建网篇（2023版）

拥抱WiFi6

最新一代的无线接入点是对高速有线网络的补充，并为重新配置工作空间的公司提供了更灵活的部署方式。

没有必要对所有接入点进行全面更换。相反，企业应分析其当前模式和每个接入点的平均负载，首先重点升级流量最大的接入点。随着时间的推移，将所有设备都升级到 Wi-Fi 6 应能带来更好的管理效益。

重新思考 VPN

一些公司的现代化计划侧重于将 “在家办公 “模式转变为长期的战略。为了支持更多的远程工作员工，企业正在重新考虑他们的 VPN 和相关的云计算策略。企业可以考虑为高价值的远程员工提供软件定义的广域网（SD-WAN）或基于云的 VPN 或基于云的 VPN，以减轻当前网络终端的负担。

为远程用户部署 SD-WAN

SD-WAN 可为分支机构提供更好的访问、控制和弹性，并可优化对云应用的远程访问。远程访问云应用。一些企业甚至考虑为其高价值用户部署 SD-WAN 端点，因为与典型的 VPN 连接相比，SD-WAN 技术可提供更好的始终在线体验。

MPLS 与 SD-WAN的比较

网络自动化

随着管理任务的扩展速度超过资源的增长速度，企业需要更智能地工作，而不是更辛苦地工作。网络的自动化，尤其是与业务案例或业务规则处理相关联时，可使公司更高效更迅速地响应管理请求。

随着 Al 技术的迅速成熟，基于 Al 的自动化现在已成为一种可行的选择。由于许多任务（如部署和迁移）都是可预测的，因此 Al 可以帮助简化这些功能。即使是新产品，如 OpenAl 的 ChatGPT，也正在被集成到网络自动化工具中。

一文梳理新一代云化园区网络建设方案-运维篇（2023版）

Al 支持的网络报告

所有这些网络现代化进程和IT技术变化创造了一个更加复杂的，数据高度密集的企业环境。有了如此多的工具，输出高级报告项目对企业保持变革领先变得更加重要。随着现代化网络变得越来越复杂，用于帮助分析和识别趋势并提供网络安全问题预警的 Al 也变得越来越常见。如果企业目前依赖于来自多个不同工具的报告，那么现在正是研究聚合工具的好时机，这些工具可以关联多个领域的报告，通过为 IT 团队连接多维度数据来提高对网络的洞察力。

星融元携手商业地产运营商共同进入AI时代

网络安全

网络管理的变化是深刻的，对网络安全的影响也最大。

强大的网络安全需求对所有企业都至关重要，因为风险不仅仅存在于网络基础设施，它还会延伸到企业声誉、收入甚至客户。在这一安全领域，依靠专家往往比在公司内部解决问题更好，因为外包服务可能对许多网络漏洞和问题见得多了，能够在问题出现时更快地做出反应。

传统的医院信息化建设背景下，网络建设面临着各种各样的困难。

1. 传统网络出现故障无法快速恢复。传统网络面临故障无法快速恢复的问题，出现问题排查困难，有时候会严重影响医院业务的正常开展。
2. 传统网络穿透性不强。医院病房楼建筑结构通常较为复杂，导致病房内信号覆盖范围不全面，特别是对于电梯内等特殊位置，网络覆盖效果很不理想。对于移动医护设备，出现网络不佳等问题时，会严重影响救治效率与就诊体验。
3. 传统网络承载量不足。当医院同时就诊人数过多致使某一区域内上网人数较多时，会导致网络异常缓慢，病人无法上网或上网卡顿，影响就医体验。
4. 医疗数据敏感。医疗数据涉及个人隐私、安全和计费等多种敏感信息，而传统的医院网络无法满足信息安全的建设需求。

智慧医院的网络架构设计

在智慧医院里，网络需求场合包括门诊大厅、病房、手术室、办公区、餐厅等，医生、护士、病患及家属等不同角色对网络的需求也各不相同，需要一个高并发、高性能、信号覆盖好、稳定的网络环境，用来支撑智慧医院内各项应用系统的正常运行。同时，智慧医院建设会涉及不同医院之间的业务协同，对于跨院的网络体系建设同样应考虑在内。

现代医院的网络架构可以分为院内和院间网络两部分。

1. 院内网络主要以有线网络为主并搭配无线网络，联通医院的各个部分，用以支撑智慧医院的HIS、LIS等典型系统，更好地服务医务人员及患者，是智慧医院运行的基础。
2. 院外网络是指可用于远程医疗、远程教育等区域医疗应用及与政府管理系统的对接。在智慧医院的建设中，这两种网络的稳定性和高效性将直接影响到整体运行的各个方面，因此网络架构设计在智慧医院中是十分必要的。

无缝漫游：基于分布式网关的漫游方案替代路径冗长的隧道转发

园区网络中的分布式网关设计，具体指的是：一个子网的网关以分布式的形式存在于每一个接入交换机上。它充分利用每一个接入层设备的能力，所有的跨子网转发动作在最近的分布式网关上完成，让网关功能不再成为压垮网络中某一台设备的潜在风险，同时大幅度提升整网的转发效率。

对比传统的无线方案，设备发生AP漫游后的流量不再需要绕道转发，也无需在配置前期考虑网络划分的问题——网络管理员只需要在网络初始化时一次性配置好所有分布式网关的信息即可，无需在运行过程中动态调整，从而进一步降低运维的复杂度。

了解更多：下一代园区网络，“分布式网关”实现更高效的无线漫游！

海量接入：引入云计算先进网络架构设计，网络扩展无瓶颈

区别于传统的三层拓扑，采用了开放网络架构的园区网络中，全部采用的是Clos结构的组网模型（Spine/Leaf）。这种架构早已广泛应用于云计算场景，它足够扁平，并且可以抛弃大机框设备用全盒式的单芯片交换机来组网，横向扩展十分灵活。

如图所示，随着规模的从小到大，这个Clos网络能够从一级横向扩展至多级，使得网络能够接入的终端数量从几十个到几十万个不等，并且，扩展的过程中原有的网络架构完全保持不变，新扩展的模块与原有模块架构完全一致，从而最大限度地降低了维护的复杂度。

了解更多：下一代园区网络，用Leaf/Spine架构替代传统“接入-汇聚-核心”三层架构

超高可靠：抛弃二层交换彻底隔绝广播风暴，比“堆叠”更可靠的“超堆叠”

我们都知道，在需要高可靠的网络场景中我们往往需要进行冗余设计，但由此会产生网络环路并导致广播风暴影响整网的正常运行。所以在组网实践中我们有了生成树协议（STP），通过一定的算法人为阻塞链路来打破环路。
链路的阻塞无疑是对资源的浪费，在新一代的园区网络设计中，我们完全有能力抛弃二层网络（即消除网络中的广播），通过纯三层路由转发+ECMP来实现100%的链路利用率，并且这样的网络同时也具备相当的高可靠特性。

另一方面，园区网络为提高网络可靠性避免链路/设备单点故障，还往往采用堆叠组的架构。堆叠技术将多台设备虚拟成一台，对外呈现出统一的控制平面，简化了管理和配置也提升了性能和吞吐量，但堆叠组的升级复杂度和设备替换问题却也成为了让一线网工头疼的问题。

新一代基于Spine/Leaf架构的园区网络，我们得到的是一个集群化的网络，在保证了高可靠和运维简单的前提下，网络升级和稳定性也得到了本质的提升。

了解更多：新一代云化园区网络架构，根除网络广播风暴难题

极简运维：单一配置模板+简单易用的网络集群+轻量控制器，更适合小规模网络场景

新一代云园区交换机支持零配置部署，同层设备采用同一套配置模板，并且开局自动加载配置文件、升级文件，实现设备的免现场配置和部署。

和传统园区SDN控制器相比，新一代云园区控制器的最大特点是“轻量”，它不会将路由计算、 QoS策略/安全策略下发、接入安全检测等计算任务集中在控制器上，而是分布式在每个交换机上计算，控制器只进行简单的状态查看和配置管理。

原生安全：出口安全设备池化，高效利用安全资源

在网络出口架构方面，新一代园区网络引入了资源池方案，结合SDN流量编排技术，可将各类安全资源池化，避免了传统串联模式的单点故障和升级调整困难的问题。

校园网络正在面临的哪些挑战？

• 无线覆盖和漫游
• 高带宽高并发
• 物联网设备的引入

分场景的无线网络设计原则

普通教室等场景

此类场景属于学校内常见场景，比如普通教室、开阔办公室、会议室、实验室、图书馆等。这类区域师生人数较多，环境相对开阔且面积较大；无线不仅要承载师生办公业务、同时学员还会使用无线访问流媒体、游戏、下载文件等，对无线设备的性能提出了较高要求。因此，推荐在此类环境中使用支持802.11 ax协议的吸顶式AP。既满足此类环境对无线性能的要求，满足老师、学员、访客的日常上网需求。

小型办公室场景

对于学校内小型的隔间办公室，此类环境一般房间密集且数量较多，每个房间2~3个用户，同时无线建设时要求尽量减少对环境的影响。因此在此类场景推荐使用面板式的无线AP。

面板式AP采用国标86面板尺寸设计，满足办公室等建筑施工规范性要求施，快速安装，直接替换掉原有有线面板即可。此外，面板式AP在提供无线信号覆盖的同时，还能提供有线网络和电话口，符合办公室等对有线无线网络的共同需求。

办公楼、图书馆区域

设计思路：在图书馆区域，里面有阅览室、自习室、接待室、报告厅，等场景，都使用吸顶AP进行覆盖，对于报告厅场景采用高密吸顶AP进行覆盖。除了确保人数承载外，还主要确保AP间的干扰。

宿舍楼，部分办公楼重要办公室

对于这两种区域，房间密集，单均为接入并发较少，每个隔墙都为水泥墙，需要考虑信号衰减问题。因此针对这种区域每个房间放置面板，用于信号覆盖和人员接入。

体育馆、食堂

食堂来说，场景比较空旷，接入并发相对较多，采用普通吸顶AP进行无线覆盖，单个设备的覆盖面积半径为15米。

会议中心

接入并发较多，固采取高密吸顶AP进行覆盖，一个会议室根据接入并发人数、场景大小，合理部署AP数量，另外还需要考虑信号干扰问题。

无线认证系统的设计原则

对于校园老师以及学生来说，推荐使用Portal账号密码认证，登录的账号可以为教师姓名、手机号、工号等具有唯一性信息，实现一人一账号自行登录；对于来访人员，推荐使用微信认证、短信认证的认证方式，方便快捷。对教学设备接入网络可以视情况而定。

另一方面，学校经常会有外部人员来访，例如上级领导视察工作、家长会议、对外开放参观、社会组织活动等，这部分人员经常有手机端和电脑端无线上网的需求。在无线校园网络设计的时候，针对外部人员，需要充分考虑访客无线接入的便利性以及安全性。例如外来人员重复询问WI-FI密码无疑会增加IT运维工作的繁琐性，而且影响无线体验感。因此，外部人员认证需要充分考虑用户体验。推荐可以使用微信、短信方式认证、账号密码认证。

对于图书馆、教室、办公室、报告厅等场景，推荐采用Portal账号密码认证，内部员工接入时即需要认证，登录的账号可以为姓名、手机号、工号等具有唯一性的信息，实现一人一账号自行登录。

分布式的无线网络解决方案

区别于传统的三层拓扑，星融元将云计算领域的网络设计理念引入到园区，推出了基于全三层IP Fabric的云化园区解决方案，将云化深入到底层网络架构，从而支撑起面向的校园高性能分布式无线网络。

整体方案请参阅

• 全新的网络规划思路：采用领先的开放网络理念，基于最新的数据中心级网络技术、开放的网络操作系统，“一网多用”地构建出能够同时承载多种业务的超大规模校园网络。
• 全新的网络建设架构：抛弃传统校园网络架构所背负的历史包袱，通过纯三层网络、统一路由结构、天然无环、去堆叠、自主内生安全等创新的技术，建设架构极简、更可靠、更安全、更高性能新一代校园网络；
• 全新的高效运维体系：将开放网络的集中控制器、软件可编程引入到校园网络的运维系统中以有效支持NetDevOps，同时通过简化配置、自动部署等创新性设计大幅度提升网络运维的效率。

覆盖全场景的wifi6

极简运维的高效率无线漫游

• 一个子网的网关以分布式的形式存在于每一个接入Leaf上，充分利用每一个接入Leaf的能力，所有的跨子网转发动作在最近的分布式网关上完成，让网关功能不再成为压垮网络中某一台设备的潜在风险，同时大幅度提升整网的转发效率；
• 当移动终端发生漫游时，分布式网关的作用尤为重要，因为漫游后的接入Leaf上已经配置了网关信息，并且自动学习和同步了漫游终端的IP/MAC信息，因此漫游后的终端可以平滑地重新接入网络（所发信息无需再到一个“集中的网关”上去兜圈子），并且漫游过程中业务不断连（即确保不丢包，因为漫游后的接入Leaf上已经有了该漫游终端的所有信息）；
• 网络管理员只需要在网络初始化时一次性配置好所有分布式网关的信息即可，无需在运行过程中动态调整，从而进一步降低运维的复杂度。