教育城域网SDN建设.pdfVIP

教育城域网网络技术要求 1 范围 本文件提供了教育城域网技术指导，包括网络架构、出口安全、柔性网络、IPv6业务部署、智能 运维和园数融合。 本文件适用于参与组建教育城域网的各级组织。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本 （包括所有的修改单）适用于本 文件。 序号 标准编号 标准名称 1 IETFRFC2119 RFC中用于指示需求级别的关键词 （KeywordsforuseinRFCstoIndicateRequirementLevels） 2 IETFRFC7348 VXLAN （VirtualeXtensibleLocalAreaNetwork) 3 IETFRFC7209 以太网EVPN （RequirementsforEthernetVPN) 4 IETFRFC7432 BGP基于MPLS的以太网VPN （BGPMPLS-BasedEthernetVPN） 3 术语、定义和缩略语 3.1 术语和定义 本文件没有需要界定的术语和定义。 3.2 缩略语 下列缩略语适用于本文件 序号 词语 解释 1 SDN SDN软件定义网络 （softwaredefinednetwork） 2 NAT NAT网络地址转换 （NetworkAddressTranslation） 3 FW FW防火墙 （Firewall） 4 SSL SSL安全套接层(SecureSocketsLayer), 5 IPSec IPSec协议安全性(InternetProtocolSecurity,Internet) 6 VLAN VLAN虚拟局域网(VirtualLocalAreaNetwork), 7 VXLAN VXLAN虚拟扩展局域网(VirtualeXtensibleLocalAreaNetwork) 4 教育城域网网络架构 教育城域网包括有线部分和无线部分，有线部分由接入，汇聚，核心三层设备组成，搭配城域网SDN 控制器。无线部分由无线AC、无线AP组成。 整体网络架构如下： （1）接入到汇聚使用VLAN进行联通，在汇聚层设备上，不同VLAN映射到不同Vxlan进行 隔离，同时汇聚和核心设备之间运行Vxlan构建overlay网络，构建一个逻辑上的大二层网络， 同时采用分布式L3网关并通过可靠的机制有效地抑制广播风暴。 （2）策略管理上采用了面向用户的分组模式，将属性或者访问权限相近的用户分到一 个安全组中，同时也将服务器侧的资源划分到安全组进行统一管理。策略定义时，基于可视 化的SDN控制台方式实现，简单直观。 （3）基于5W1H的灵活的用户认证接入机制，根据who （谁），whose （谁的设备），what （什么设备），when （什么时间），where （什么地点），how （什么方式）多个维度覆盖各 种接入场景。用户可根据自己的需求，灵活定制场景，满足自己个性化的需求。 （4）支持用户终端在整个生命周期中mac和IP的强绑定，终端不管移动到哪里，可以做 到终端始终绑定唯一固定的IP，满足城域网安全管理需求。 （5）整网的核心是城域网SDN控制器。所有对网络的自动化上线，接入管理，用户组/ 策略管理，业务配置管理全部在SDN控制器上通过直观的图形化界面完成。SDN控制器将管理 员的操作在后台转化为网络设备的