等级保护 2.0 拓扑图案例 整体技术体系架构 产品清单 下一代防火墙 数据库审计 负载均衡 感知平台 + （检测探针） 上网行为管理 SSL VPN 信服云眼 / 信服云盾 日志审计系统 漏洞扫描系统 主机杀毒 运维堡垒主机 云平台安全建设拓扑图 法院等级保护 高校等级保护 广播电视等级保护 监狱等级保护 医院等级保护解决方案 医院整体拓扑图 内网终端接入域 VPN WAC 防火墙 +IPS+AV （新增） 服务器区 - 内网 汇聚交换机 S5560-30F-EI*4 台 无线 AP WA4320*121 台 全网防病毒 网络管理 绘制拓扑 网络日志 安全接入 身仹验证 互联网 防火墙 +IPS+AV （新增） 支付宝服务器 感知平台 + （检测探针） 上网行为管理 SSL VPN 信服云眼 / 信服云盾 日志审计系统 多种安全审计 云安全资源池 云 终端检测与响应 安全感知 万兆网络 40GE 网络 云安全集中管 控安全服务平台 2. 于租户安全资源池 3. 安全服务 安全措施说明： 1. 拓扑中标识的安全设备 漏扫系 统 堡垒机 安全管 理平台 于安全监 测中心 综合安全管理区 核心交换区 亏联网接入区 业务服务器群 公共服务数据库 DMZ 区 DNS 服务器区

技术空间。 全球领先的产业与科研力量均已在此领域展开探索，并在部分应用场 景实现试点部署。 然而，要实现光电协同网络在智算中心的规模化落地，仍需跨越 多重技术关卡。从应用层集合通信模式与动态拓扑的适配，到传输层 协议机制与流量调度优化；从路由层控制平面的可扩展性，到链路层 资源的智能分配；再到物理层光交换的传输损耗与延迟难题，均对网 络架构设计、协议栈演进与资源编排提出了系统性挑战。 .......... 15 2. 智算中心光电协同交换网络面临挑战............................................. 20 2.1 应用层：集合通信与网络拓扑的失配挑战...........................21 2.2 传输层：复杂功能的协议设计与流量调度挑战...................21 2.3 网络层：路由收敛滞后挑战 应用层：面向光电网络的集合通信重构协议.......................27 3.1.1 预测通信模式，为重配置提供需求启示.....................28 3.1.2 拓扑有感知的动态集合通信重构................................. 29 3.2 传输层：面向光电网络的高性能传输协议...........................31

......................................................................................15 1.3.1. 智能拓扑................................................................................................... ....................................................................................54 2.4.5.7. 主机拓扑管理................................................................................................. .........................56 2.4.7.1. 网络拓扑管理..................................................................................................56 2.4.7.1.1. 拓扑生成.......................................

IT 运维体系 人 (People) 流 程 (Process) 技 术 (Tech & Tool) ITIL 北塔一体化运维解决方案 平台架构图 网络拓扑 系统拓扑 虚拟拓扑 业务拓扑 视频拓扑 拓扑 中心 实时预警 历史故障 事件 中心 性能、运行报表 运维报表 考核报表 趋势分析 报表 中心 故障自动工单 服务台 SLA 知识库共享 流程 虚拟化 机房环境 故障 性能、状态 分布式数据采集 视频图像质量 主要 功能 网络拓扑 基础设施管理 主要 功能 智能—主机拓扑 基础设施管理 主要 功能 智能—虚拟化拓扑 基础设施管理 主要 功能 智能—业务拓扑 基础设施管理 智能—机房拓扑 基础设施管理 智能— IP 拓扑 基础设施管理 智能 主机管理 专业管理 原厂 agent 硬件管理 IPMI 硬件管理 专业管理 Ip 地址生命周期管理 自动台帐 通过自动采集分 析网络拓扑数据， 建立完整的 IP 地 址实时台帐，彻 底解决手工难题 • IP 地址 • MAC 地址 • 所在设备 • 所在端口 • 管理属性 智能 专业管理 Ip 地址生命周期管理 延迟符 可疑 IP 地址 直接定位 自动打开拓扑图并 直接定位该 IP 地址 智能 专业管理 Ip 地址生命周期管理

智能沟通机器人 云秤 磁盘健康 检测平台 云翊 数据中心 精益管理系统 中国移动 IT 云智慧运维创新实 践 网络大屏 动态拓扑 网元健康度 路径推演 业务拓扑 批量配置 星空雷达 配置下发 指标预测 异常检测 根因分析 能力封装 构建网络运维开放生态，功能面向 不 同运维角色，同时以标准接口对 外开 放功能与数据 智能诊断 基于机器学习生成动态基线，网络 访 问状态、网元指标智能检测、分 析、 定位恢复 网络可视 网络架构、拓扑、网元状态、访问路 径可视化 运维自动 从网络发现、更新、健康度计算、应 急、配置管理全流程自动化 星 空 雷 达 网 络 AI 分 析 平 台 4个维度 2 大场 景 类数据 3 元实时展现健康度拓扑， 网元健康度按由小到大排序， 通过标注不同颜色当前网元所处的状态 ，助力运维人 员快速定位。 网络健康态势 探针与拓扑融合：根据探针主机名自动识别 部署的区域 ，所有探针全 MESH 多协议探测， 统一的健康度计算、告警 ，并呈现在态势感 知拓扑。帮助运维人员快速判断应用故障是

展需要实现在 400V 电压等级面向多业务多 场景的统一高速通信网。结合 5G+ 通信技术的演进趋势，通信、感知、计算、控制一体化是必然的发展方向，并对低 压台区的业务的云边协同控制、空间和电气拓扑识别、多维感知、就地决策具有重大的价值，需要提前布局。为推动实 现“有电就有网，支撑 400V 以下全业务，覆盖千行百业，连通千家万户”，亟需研发新一代通感算控一体化高速通 信技术，采用电力业务 时发现故障并开展现场维护。相关功 能以分支开关、智能电表、传感器等电网公司部署的设备为数据来源，采集参数包括电气参数、设备运行状态、环境状 态等。相关业务主要包括配变负荷管理、低压用电管理、低压拓扑识别、分支监测、分支控制、负荷实时监测等，其业 务需求如表 2-3 所示。 表 2-3 配电网感知及实时监控业务需求 序号 支撑功能 业务类型 数据频度 实时性 可靠性 安全性 交互对象 1 低压停电感知、分支负载 监测 周期性采集 1 分钟 分钟级 99% 高 分支开关 3 低压智能开关位置 周期性采集 24 小时 否 99% 低 分支开关 4 低压拓扑识别 周期性采集 24 小时 否 99% 低 分支开关、 电表 5 低压拓扑采集 周期性采集 24 小时 否 99% 低 电表 6 配变负荷管理 周期性采集 15 分钟 否 99% 低 电表 7 低压用电管理 周期性采集 15 分钟

2-1 卫星互联网架构图 2 卫星互联网承载网的结构由在轨卫星、地面节点和多类型链路共 同构成。在轨卫星既包括低轨卫星，也包括中高轨道的区域中继节点， 它们通过高速星间链路形成一个动态的网状拓扑。这些卫星节点不仅 仅承担信号转发的作用，还具备一定的路由计算、缓存和处理能力， 使得网络在链路变化频繁的空间环境中依然能够保持高效的数据调 度。地面节点主要由信关站和核心骨干节点组成，前者承担卫星与地 负责连接卫星与地面站，支持多频段传输以适应不同业务需求；同时， 承载网还需与地面光纤网或无线骨干网形成互联接口，实现跨域无缝 对接。由于卫星在轨运行形成高度动态化的拓扑结构，卫星互联网承 载网的控制平面必须具备快速的拓扑感知与预测能力，通过基于轨道 力学的链路预测实现路由的提前优化配置，并借助分布式控制与跨域 编排机制，在多域多业务并行运行的情况下保持网络稳定。 在能力特征方面，卫星互联网承载网的首要优势是全球覆盖。依 优化和资源自适应分配，推动网络具备更高的自治能力；在开放性方 面，承载网将逐步实现与地面互联网标准的深度融合，支持多运营商、 多服务平台的接入与共享。然而，这一发展过程中仍面临诸多挑战， 包括高动态性拓扑带来的路由与资源管理复杂性、跨域互操作的标准 化问题、空间环境对通信链路的干扰与衰减，以及信息安全和抗干扰 能力的持续提升等。这些问题的解决不仅需要通信、航天、信息安全 等多个领域的协同创新，也需要在国际范围内形成技术标准与合作机

选取当前跳变路径,同时提出流表预下发策略,保证在路径切 换过程中通信不中断,减小了路由跳变带来的时间开销[３４]. (５)网络拓扑跳变指周期性主动或被动地更改网络拓扑, 使攻击者收集到的拓扑信息失效,进而一定程度上抵御了网 络嗅探等攻击. Rawski提出的拓扑跳变策略,可以从预先计算好的配置 中根据网络状态的安全等级周期性地选择变化,也可以由捕 获的网络 异 常 事 件 触 发 拓 扑 扑 跳 变[３５].Bai等 结 合 真 实 主 机 IP、操作系统类型等信息和添加的虚假主机构造虚假网络拓 扑,从跳变池中选择虚假网络拓扑进行随机拓扑跳变,并按照 拓扑差异值决定当前虚假拓扑的存活时间[３６]. ２)系统层 (１)容器迁移指将应用程序的镜像或容器镜像从一个主 机或容器集群移动到另一个主机或容器集群,动态地改变系 统的结构和配置,进而增加攻击者攻击系统的难度. Az 根据欺骗资源所属的系统层次进行分类 根据欺骗资源位于系统的不同层次,可以将欺骗防御技 术分为网络层欺骗、数据层欺骗和系统层欺骗. １)网络层 在蜜罐、蜜网等欺骗系统的网络层实施欺骗防御策略,如 掩饰或伪造IP地址、端口号、拓扑等网络层特征信息,旨在诱 骗攻击者捕获虚假的网络信息、重定向攻击,并主动捕获恶意 网络流量,以达到欺骗攻击者的目的. Zhang等通过蜜网网关和入侵检测系统 来 检 测、分 析 特 定的恶意流量

裂”和协同调度“效率低”三方面的挑战。 （1）异构算力“资源墙”因其硬件架构、互联拓扑等物理差异，阻碍了不同厂商、不 同架构算力间的有效协同：一方面，由于各类算力芯片间存在架构设计、数据类型等差异， 导致算力单元间二进制不兼容，无法进行同一计算任务的协同配合。另一方面，单机层面不 同算力芯片互联拓扑差异，具有 Cube-Mesh、Full-Mesh 等异构互联方式，造成了服务器 卡间 配为核心，通过标准化接口封装层、厂商硬件适配层、统一跨芯通信三层抽象架构解决跨异 构算力通信问题。 统一集合通信库关键技术主要包括集合通信原语优化、异构算力互联和设备拓扑感知优 化等： （1）集合通信原语优化：为通信原语设计支持异构环境的专用算法，其核心能力包括 异构通信数据流编排、拓扑感知路由的最优路径选择及计算通信重叠等，最大化并行度、均 衡负载并规避单一设备瓶颈，显著提升跨设备集合通信操作效率。 （2）异构算力互联 特定后端，支持运行时透明调度、转换异构设备间的数据搬运、同步指令功能，实现跨生态 算力的无缝协同。 （3）设备拓扑感知优化：深度感知并利用机内 Scale-Up 和机间 Scale-Out 网络连接 拓扑，实时分析拓扑结构，动态选择最优算法、优化数据流路径，实现最小化跳数、优先利 用高速链路、全局拓扑协调的效果，使通信模式精确匹配底层硬件能力，消除性能瓶颈。 13 3.2.2 智算网络互联优化

工业园区生产网络适用于面状区域的工业生产场景。面状区域主要是指各类制造企业 的工厂等场景。在这些场景中，各类生产终端都是基于车间产线为粒度进行部署。因 在企业园区内部，光纤资源易于获取，覆盖距离一般为数百米到数公里，网络的拓扑 适合树形组网。 工业园区生产网络的典型物理架构如图 2-3 所示，分为骨干网络层和现场接入层。 ⚫ 骨干网络层：采用双归树形组网，主要用于连接园区内部各条产线、各个厂房之 间的生产网络。建议采用双节点堆叠或者双节点 隧道、城市 道路、管廊、金属矿、煤矿等场景。在这些场景中，各类生产终端一般都是沿着 地下的通道或地面的道路进行部署，物理位置比较分散，覆盖距离为数公里到数 十公里，光纤资源较紧缺，该场景下网络拓扑适合环形组网。 泛工业生产网络的物理架构如图 2-4 所示。 11 解决方案架构 图2-4 泛工业生产网络物理架构 整个物理网络分为骨干网络层和现场接入层： TSN 网络域内负责实现设备监控管理、网络拓扑发现、流量监控调优、 业务建模及调度模型下发等功能。传输单元除了支持 TSN 网络相关转发特性，还支 持相关在线测量协议，实时将相关状态上送给管理单元，以便实现实时的全网监控， 根据网络需求和状态，动态调整相关配置。应用单元则需要具备接入 TSN 网络的能 力，支持在线测量及运行维护相关协议，以实现全网拓扑发现、状态监测以及网络业 务调优。