一、课题来源与背景：“新基建”作为国家的重要发展战略，把网络、云、算力、安全等视为重要的基础设施，云网安融合已成为通信基础设施、新技术基础设施和算力基础设施之间的粘合剂，是“新基建”中新型信息基础设施的底座。 中国电信股份有限公司广东分公司联合华为技术有限公司、广东亿讯科技有限公司、中国电信股份有限公司北京研究院等单位共同攻关，累计投入7.99亿元，成功完成了适应云时代的云网安融合基础架构搭建。

    二、技术原理：云网安融合是数字化经济转型要求下的必然结果。数据中心（DC）云网融合的程度较高，在云操作系统的统一调度下，云网资源可以实现一体开通、一体供给。然而一旦要将这套机制扩展到广域网尺度下，复杂程度急剧增加，具体表现为： （1）、 接入网络协议和形态更为复杂。 （2）、 网络承载的确定性和差异性保障能力要求空前提升。 （3）、 计算、存储资源云化形态更为丰富，中心云、边缘云、私有云、安全能力云等多种异构云资源的协同调度机制复杂。 本项目针对上述问题进行了全面和深入的研究，提出了一批国际、国内标准和专利，构建了具有自主知识产权的广域网尺度下云网安融合架构体系，具体关键技术原理如下： 1. 高精度网络切片技术：研发支持M级别颗粒度、千级别切片数量的高精度、大容量网络切片技术，设备物理接口通过时分复用方式划分出FlexE切片隔离接口，采用“片中片”解决方案，为每个切片隔离端口配置SliceID，插入数据报文中逐跳传递，中间逐跳节点识别SliceID并约束流量在特定FlexE切片资源中转发，为每个业务提供独立的端到端网络切片资源。 2. SRv6智能选路技术：研发并部署SRv6技术，利用IPv6地址可编程特性，基于网络信息部署隧道或收集存量隧道信息，采用ROAM算法，引入UCMP权重智能调整，通过AI进行海量多维数据评估进行全网流量转发路径集中计算，达到或逼近云网流量转发时延、利用率、可用度的理论最优解。 3. G-SRv6压缩技术：归并SRv6头部的冗余Common Prefix，保留有效信息熵形成C-SID；设置COC Flavor，采取二维定位方式在不改动IPV6报文协议和SRH封装的情况下实现压缩C-SID和普通SID的混合编程，解决了SRv6 policy在网络路径可编程可规划的同时传输开销过大的问题。 4. iFit随流检测技术：在真实业务报文中插入iFIT报文头，基于交替染色法标记报文，采用Telemetry技术将检测数据实时上送至控制器，真实还原报文转发路径，精准检测每个业务的时延、丢包、乱序，快速实现故障定界定位。 5. 云网安统一编排技术：基于OPEN-O开源技术架构，多业务接入抽象建模，采用开源工作流Mistral，首创可视化编排引擎、可视化编排流程设计器和层次化、组件化云网安编排模型引擎。构建云网安业务编排模型，以云网汇接中心为核心，对接PONIPRANSTNIP专线OTN5G等多类型接入网和天翼云、腾讯云、阿里云、边缘云、云化安全能力池等多云，由云网安编排器进行原子能力的灵活编排，实现一体化供给。

    三、 性能指标： 1. FlexE切片带宽颗粒度可细化至M级，较国际标准精度提升1000倍；单物理接口可提供K级切片数量，全球领先。 2. NCE控制器支持基于SRv6 Policy的多因子智能集中算路，SRv6隧道容量超过500K，实时动态算路因子超过15个，业界领先。 3. iFit随流检测技术丢包检测精度达10-6量级，时延检测精度达微秒级，基于此技术可实现秒级故障定位，业界领先。 4. 云网安编排器支持多协议、跨域、跨厂商的云、网、安业务编排和自动开通，快速开通时长从天级缩短为分钟级。

    四、成果的创造性、先进性： 1.在架构设计方面，创造性地将数据中心内部架构扩展到广域网尺度实现，全球首个构建并成功落地部署了网侧具备5G、PON、IPRAN、OTN传输等多接入能力，云侧对接公有云、私有云、混合云等多云，安全侧覆盖网络层、主机层、数据层、应用层的云网安一体融合架构，为用户提供泛在接入、多云协同、安全可靠、智能随选的新型信息化基础设施服务。 2.在云网流量安全隔离方面：在FlexE切片隔离技术的基础上，创新提出SliceID片中片解决方案，将网络硬隔离切片精度从G级提高到M级，单物理端口切片数量从个位数提高到K级。 3、在网络智能高效转发方面：自主研发的NCE控制器基于SRv6 Policy技术和ROAM算法，提供支持超大网络规模（500万跨域隧道）、锁定/候选/亲和等多约束、15个以上多因子的业界顶尖的显式转发路径智能计算能力；基于Common Prefix归并和二维定位技术，首创G-Srv6压缩算法，压缩效率属业界最高（75%）。 4、在云网安编排方面：基于Open-o开源架构和网络数字孪生技术，创新性提出云网安业务规建营维优一体理念，自主研发了业界首个支持多网接入和规划、开通、运营、维护、调优全生命周期管理的云网安统一编排-控制系统。

    五、技术适用范围：本项目充分发挥了电信运营商在网络覆盖和大网安全方面的优势，为政府、企业提供了便捷、智能、可靠、安全的数据通道，使得数据流通从私有系统内部、接入点到单一云资源池进而扩展至广域多地、多网、多云。 六、应用情况及存在的问题； 本项目搭建的云网汇接中心和云网编排控制系统目前已在广东电信部署，为广东政务、教育、公安、医疗、制造、水利等各行业客户提供了智能、便捷、安全、可靠的多云服务。