当前位置：文档库 › 《思科基于业务意图的智慧校园网解决方案》

《思科基于业务意图的智慧校园网解决方案》

思科智慧校园2.0 | 基于业务意图的智慧校园网概述

当今，随着数字化和万物互联时代的到来，各高校正在持续深入的推进教育信息化建设。作为承载信息的校园网络，也面临着数字化转型的问题。高校师生已经成为巨大的互联移动用户群体，他们对网络的期望非常高，翻转课堂、创客空间、在线课程，这些理念已经不再新鲜，他们需要更贴近用户的网络来满足他们教学及科研的需求。

同时校园业务对网络实时性要求也越来越高，除带宽外还需要具备更低的延迟和响应。校园网络的接入方式从有线已逐渐转移到无线，有线和无线网络也需要进一步融合。并且大量物联网设备的接入需要网络能够智能识别并赋予相关策略与权限，以保障网络安全。

校园网络应用快速变化和新应用不断推出，这些都对高校传统的网络建设与运维方式提出了新的挑战。校园网络的 I T 管理运维人员经常要面对以下的问题：

思科基于业务意图的全数字化网络架构 (Cisc o D NA) (Cisc o D igit a l N e t wo rk A r chit e ctu re )将彻底转变您的思路，以全新的方式设计、建设和管理您的校园。它为网络实现持续学习、持续适应和持续保护奠定了基础。它为您带来更便捷的集中化管理方式，帮您加快部署速度，让网络在短短数日内就绪并投入运行，而不必花费数月时间。它能够将业务意图转化为行动，提高师生的参与度，提升校园的智能化运维水平，打造新的智慧校园网。

校园网越来越复杂，移动终端的数量越来越多，基本以无线网络接入为主，网络故障定位困难，网络运维的压力很大。

网络建设成“孤岛”形态，教学办公网，一卡通，物联网等各个网络独立建设，相互之间形成信息流动的瓶颈，当校园网开展新业务和新应用的时候，网络业务变更困难，部署联调周期长，后期难以监控。

校园网对于安全的要求越来越高，但现有网络对于用户有线无线策略一体化及用户在校园多个业务系统中的不同应用的安全管控比较繁琐，无法做到基于用户的全面安全策略，并且目前的校园网络仅对互联网和教育网进行安全隔离管控，对于网络内部的安全威胁和渗透无法做到端到端的可视化管理。

随着无线接入成为校园网络的主要接入方式，学校的管理和教学从传统的人员交互方式向移动应用交互迁移，并且师生人均移动设备的拥有数量超过两个甚至更多，如何解决在教室、礼堂、会议室、体育场馆等人员密集区域的超高密度无线接入也是高校面临的一大问题。

思科智慧校园2.0 | 基于业务意图的智慧校园网

移动性

物联网

多云

思科基于业务意图的全数字化网络架构 (Cisco DNA )解决方案

思科基于业务意图的全数字化网络架构 (Cisc o DNA)的组件包括：

Cisco DNA 就绪型基础设施：包括路由、交换和无线产品，支持虚拟化，可编程；

Cisco DNA Cen t er ：全可视化操作的控制器，用于为基于策略的自动化部署、智能运维，网络部署及业务快速变更；

嵌入式/内置安全：网络即传感器和执行器，用于提供全面的威胁可视性和威胁防护；

思科基于业务意图的全数字化网络架构 (Cisc o D NA) 可简化并加快校园网络架构的部署，利用可编程性、自动化和分析等优势减轻 I T 管理运维人员负担，帮助他们节省在手动操作、重复操作、更新网络配置和故障排除等工作上花费的时间，以便他们更加专注于能够在未来创建价值的前瞻性战略计划，使网络更好地为业务成果提供支持。

思科基于业务意图的全数字化网络架构 (Cisc o DNA ) 提供智能化和自动化的网络来满足高校的业务需求。将业务意图运用到网络配置中，通过持续监控和不断调整来确保与业务意图保持一致。这一点是通过一个包括基于策略的自动化、网络分析和机器学习等技术的封闭式系统实现的。 Cisc o D NA 网络在业务上的优势在于速度和敏捷性，让 I T 人员可以专注于提供业务价值，以及降低合规性风险。随着基于网络的自动化技术得到日益广泛的使用，运营成果可以更快实现，问题能够更迅速地得到遏制，停机时间也有所减少。通过自动处理配置、调配和故障排除等日常任务，改善并解决问题，并减少安全漏洞的影响。Cisc o DNA 同时还能够为 IT 管理运维人员提供针对用户、设备和应用的深入可视性，为实现更好的业务决策提供深入洞察力。

大数据分析：通过嵌入式网络情报对网络、应用、安全和用户进行分析。

基于云的网络服务及编排系统

为 Cisco DNA 定制的物理及虚拟基础架构

自动化大数据分析

虚拟化网元

Cisco DNA 软件能力

Cisco DNA 图形化控制中心

网络大数据分析系统Overla y 解决方案-SDA 强化的威胁防御系统

全新

Catalyst 9000系列交换机

整体安全设计

思科基于业务意图的全数字化网络架构 Cisco DNA (简称 Cisco DNA) 是一种开放且可扩展的软件驱动型架构，是基于业务意图由软件驱动的开放式平台，其中融合了您业务所需的所有技术，虚拟化、自动化、机器学习、大数据分析功能等。基于业务意图的网络是指，网络管理运维团队可以用简明的语言描述想要完成的工作 (意图)，然后网络就能够将此意图转化为众多策略，这些策略将利用自动化功能在复杂的环境中建立适当的配置和设置变更。通常，此活动需要技术精湛的网络工程师进行大量的手动操作，修改需要进行的变更所影响的每台设备。Cisco DNA 将利用机器学习和人工智能确保所部署的任何服务能满足其预期服务级别的要求。当性能或其他条件不满足时，Cisco DNA 网络可以通知 IT 管理运维人员并提出纠正措施，或者最终自动重新配置网络，以确保满足业务要求。

（一）智能校园网络运维

校园网络规模大、环境复杂，因此网络系统应该支持高效的运营网络级的管理功能，方便未来网络的运维管理。但目前大多数校园网络运维大多处于被动运维模式，而且在网络出现问题时，IT 管理运维人员大量的时间是花在定位网络故障源，不能高效及时的处理故障。目前的网络中即使经过专业认证的人员，因为缺乏必要的手段，无法透视到网络中更深层次的内容，仅仅根据传统网管采集到的丢包、延迟等信息，很难在短时间内找出问题所在并给出修复建议。

学校对网络的关注点也在逐渐从面向设备转向面向人员和应用。IT 管理运维人员需要看到的并不仅仅是简单的网络设备信息，而是以人和应用为视角的全方位数据。只有真正以人和应用为主体，才能从根本上解决学校面临的各种网络问题。

思科基于业务意图的全数字化网络架构 ( (Cisco DNA) )具有全网络可视化智能运维功能，通过大数据分析运维平台，能够对整个校园网络具有预警机制，能够看到基于网络设备、用户和应用三个维度的关键指标和大数据分析结果，通过该平台能够快速了解网络运行状况，快速定位网络所处故障，并及时解决问题，以减轻运维压力，从原来的被动响应模式转变为主动响应，提升运维服务质量。

例如，智能运维平台能够清楚地反映网络设备和用户的关键指标数据，并可以快速定位无线网络体验不好的用户，包括获取 DHCP IP 地址时间比较长的用户、认证超时用户、无线漫游不好的用户、无线场强不好的用户，并给出故障的原因分析和解决的办法。

思科基于业务意图的智慧校园网业务价值

任意网元均可成为运维传感器

将近200种可操作性的情境关联场景（还在持续增加中！）

客户端| 应用| 无线| 交换| 路由

智能运维将网络数据转化为深刻洞察力

从网络设备 KPI 向用户和应用真实使用体验的转向

遥感遥测收集海量网络情境数据

将复杂的事件情境

化关联

洞悉问题所在

引导修复

IPAM

CMX

AppD

IPSLA

SNMP OID

Telnet DNS

MIB Ping

CLI

DHCP Wireless

AAA Syslog

Router

Netflow

Traceroute

Metadata extraction

Complex correlation

Steam

Processing

Clients Baseline

Application Network

Cisco DNA 智能网络运维还具备以下功能：校园网络自动预警机制

由于网络承载重要教育应用，传统方式需要定期手工进行网络巡检。Cisco DNA 智慧校园网智能运维平台可以通过无线 AP 进行自动网络测试，包括 DHCP IP 地址获取测试、DNS 服务器测试、认证平台测试、重要 Web 服务器测试、邮件应用测试、重要文件服务器测试。在老师学生上课前，快速发现无线网络的问题并进行解决。

网络故障回溯功能

Cisco DNA 智慧校园网智能运维平台通过网络故障回溯功能，可以分析发生网络故障当时各个网络设备的情况，分析网络故障发生的原因。智能反馈机制

Cisco DNA 智慧校园网智能运维平台对网络状态反馈机制也进行了显著改进。传统机制基于简单网络管理协议（SNMP），但它们是高度手动的并且易于出错。数字化网络应提供正确的度量标准，以支持处于应用程序级别的关键业务和传输策略决策。Cisco DNA 智慧校园网通过遥测（Telemetry）的方式获取数据，支持主动故障排除，达到了以用户和应用程序的颗粒度。

应用和用户感知

Cisco DNA 智慧校园网智能运维平台可以识别用户，并且能够识别应用程序，即使它们是加密的。通过对应用和用户感知可以正确地处理优先业务流或应用期望的传输策略。

思科智慧校园2.0 | 基于业务意图的智慧校园网

（二）校园网络的自动化部署和虚拟化

目前大多数高校网络因传统网络架构的限制，各个业务网络成孤岛”状态，教学办公网、一卡通、物联网等等都是一个个独立的网络，平时的管理运维无法形成体系，不能统一管理。并且当校园的某个业务部署需要横跨多个网络时，部署过程困难，

需要全部手动操作，并且工作量巨大，业务上线周期长，也无法部署适用于各个网络的用户统一的安全策略。

思科基于业务意图的全数字化网络架构 (Cisco DNA) 中的虚

拟化功能允许网络或传输功能与底层硬件元件分离

（decoupling），并提供在网络中实例化服务所需的灵活性和速度。Cisco DNA 控制器集中了基础设施的网络控制平面，并在自动化操作中发挥关键作用。它配置管理网络访问和传输的策略。

Cisco DNA 智慧校园网安全接入交换矩阵通过基于标准的无状态隧道在任意交换机之间提供连接。LISP 和 VXLAN 是用于构建 Cisco DNA 安全接入交换矩阵的底层技术。用于构建 Cisco DNA 安全接入交换矩阵的网络方法包括自动物理底层和可编程重叠，具有虚拟网络 VN 和网段等结构，它们可进一步映射为区域和用户组。通过将区域和用户组映射到 VN 和网段，这些结构为网络提供可用于实施策略的广分段和微分段功能。借助这种新方法，校园网络就能从传统架构（以 VLAN 为中心的设计）过渡到新架构（以用户为中心的设计）。

虚拟化的关键好处是将用于 IP 分组转发和虚拟化网络功能的服务传输架构与底层硬件（物理链路、物理主机）分离。这样做反过来使 IT 管理运维人员能够灵活地在网络中的任何地方快速部署功能，并显著提高部署速度，大大简化网络操作。

（三）智慧校园网络安全

网络安全分段与用户策略随行

网络安全建设一直以来都是校园网建设的重点，随着移动办公需求的发展，智能终端的大量应用，用户、设备的数量都在不断增加。虽然这些变化为访问校园网提供了更大的灵活性，但是也增加了带来安全漏洞以及不受控制的用户和端点访问的可能性。在这种情况下，学校需要提供更为全面，更为智能的安全防护，保证只有正确的用户、正确的终端、在正确的时间、正确的地点，通过正确的方式才能够访问正确的资源。

传统的网络接入安全控制技术，以基本的用户身份认证为主，保证了用户在通过身份认证之后，就具备了对网络访问的权限，实现了基本的网络准入控制，但是这些传统的技术也显现出其不足之处，IT 管理运维人员要求解决方案在允许用户和端点访问时不仅要基于用户或端点的身份，而且要基于一系列其他属性，如接入位置、接入方式、接入终端的类型，接入的时段以及端点的安全状态情形等等。只有能够获取这种丰富的情境信息，管理员才可以在校园网范围内构建合适的身份验证和授权策略。

分段和微分段是 Cisco DNA 智慧校园网安全接入的关键构成要素。高级分段通过区域的概念提供，低级分段通过组的概念提供。区域中的组可以相互通信，跨区域的组只有在策略允许的情况下方可相互通信。使用安全接入进行分段可确保在不同类型的用户、设备之间分离流量，并增加对用户和设备身份的可视性。IT 管理运维人员现在可以借助网络安全分

在 Cisco DNA 架构下，校园网 IT 管理人员可以真正的做到一网多平台，将校园内的办公网、一卡通、物联网等多个业务网络运行在一个物理硬件平台上，并且在日常网络运维中，通过虚拟网络 VN ，快速的部署一个新的业务网络，例如，高校要召开国际学术会议或是举行国家级的考试，那 IT 管理运维人员可以几个小时内完成新的基于虚拟网络的业务网络的设计和部署工作，保证会议或考试的顺利进行。而当会议或考试结束时，可以快速的删除对应的虚拟网络。整个上述过程只需要IT管理运维人员在 Cisco DNA Center 的全图形化界面上点击按钮即可完成。

Underlay Network

Encapsulation

局域网核心

无线控制

交换机

教师学生访客

无线接入点

科研服务器

AAA DHCP AD

交换机

Cisco DNA Center

校园办公虚拟业务网

一卡通虚拟业务网物联网虚拟业务网

思科智慧校园2.0 | 基于业务意图的智慧校园网

架构中的 Stealthwatch 安全组件可以对网络流量做到端到端

的360度全方位可视化管理，可以在网络中持续查看网络流

量活动（包括在加密环境下），并利用机器学习和人工智能

的大数据分析来检测异常的流量，端到端可视性与机器学习

技术相结合将能够快速识别潜在威胁（例如恶意软件传播等

等），快速的定位异常主机，并通知 IT 管理运维人员或使

用自动化功能立即采取措施进行补救，保护校园网络安全。

Inciden

reporte

WHO

did

this?

HOW

long?

WHAT

was

accessed?

WHEN

will we

know?

WHEN

did it

happen?

Quarantine

192.168.132.99

（四）超高密度无线接入

超高密度无线接入是指任何环境下的客户端设备密度远大于

正常预期无线信号覆盖的部署。虽然无线网络已经在速度和

易于实现方面取得了巨大的进步，但无线的射频基本功能特

性不会改变。之前的校园网络建设更多考虑到无线信号的覆

盖，伴随着移动终端爆炸式的增长，在一定的空间内（例如

教室、礼堂、会议室、体育场馆等区域），IT 管理运维人员

不得不面对超高密度无线接入这一严重问题。因为无线信道

及干扰的问题，IT管理运维人员已经不可能通过简单的增加

AP 或简单优化射频的方式来解决超高密度用户的接入。

思科无线网络系统针对超高密度接入的需求，对无线控制器

和 AP 的硬件和软件等进行了一些列的优化，具备了 HDX、

FRA 等智能射频功能。思科无线网络具有自我学习和自我优

化功能，能够根据现场的接入人数、现场信号覆盖、干扰情

况等进行网络的自我调整，保证超高密度接入效果。结合

Cisco DNA 的智能运维功能，完美的解决了从前端部署到

后端运维的难题。思科的超高密度接入方案已经在北京大学

邱德拔体育馆等处投入使用，很好的支持了北京大学的开学

及毕业典礼的举行，现场师生7000多人对于无线接入效果很

满意。

思科智慧校园2.0 | 基于业务意图的智慧校园网

器

思科基于业务意图的数字化网络架构 (Cisco DNA) 的虚拟

化、机器学习、大数据分析等的创新将使校园网络更具敏捷

性，提供灵活创新的环境，以提供传输、安全和数字网络服

务，通过自动化配置和部署、智能运维为真正的全数字化转

型提供支持，打造新一代的智慧校园网。

总结

Cisco DNA 价值体现

关键因素网络运维不再只局限于网络设备

的工作状态、而是应该关注真实

用户体验和应用状态

用户和网络

应该具备更灵活的微分段隔离及

控制功能

业务及设备的快速部署上线

使用前使用后

思科智慧校园2.0 | 基于业务意图的智慧校园网