《教育城域網(wǎng)網(wǎng)絡(luò)技術(shù)要求》

ICS

團(tuán)體標(biāo)準(zhǔn)

XXXXXXXX

教育城域網(wǎng)網(wǎng)絡(luò)技術(shù)要求

Educationalmetropolitanareanetworktechnicalrequirements

(征求意見(jiàn)稿)

20xx-xx-xx發(fā)布20xx-xx-xx實(shí)施

中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)發(fā)布

教育城域網(wǎng)網(wǎng)絡(luò)技術(shù)要求

1范圍

本文件提供了教育城域網(wǎng)技術(shù)指導(dǎo)，包括網(wǎng)絡(luò)架構(gòu)、出口安全、柔性網(wǎng)絡(luò)、IPv6業(yè)務(wù)部署、智能

運(yùn)維和園數(shù)融合。

本文件適用于參與組建教育城域網(wǎng)的各級(jí)組織。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

序號(hào)標(biāo)準(zhǔn)編號(hào)標(biāo)準(zhǔn)名稱

1IETFRFC2119RFC中用于指示需求級(jí)別的關(guān)鍵詞

（KeywordsforuseinRFCstoIndicateRequirementLevels）

2IETFRFC7348VXLAN（VirtualeXtensibleLocalAreaNetwork)

3IETFRFC7209以太網(wǎng)EVPN（RequirementsforEthernetVPN)

4IETFRFC7432BGP基于MPLS的以太網(wǎng)VPN（BGPMPLS-BasedEthernetVPN）

3術(shù)語(yǔ)、定義和縮略語(yǔ)

3.1術(shù)語(yǔ)和定義

本文件沒(méi)有需要界定的術(shù)語(yǔ)和定義。

3.2縮略語(yǔ)

下列縮略語(yǔ)適用于本文件

序號(hào)詞語(yǔ)解釋

1SDNSDN軟件定義網(wǎng)絡(luò)（softwaredefinednetwork）

2NATNAT網(wǎng)絡(luò)地址轉(zhuǎn)換（NetworkAddressTranslation）

3FWFW防火墻（Firewall）

4SSLSSL安全套接層(SecureSocketsLayer),

5IPSecIPSec協(xié)議安全性(InternetProtocolSecurity,Internet)

6VLANVLAN虛擬局域網(wǎng)(VirtualLocalAreaNetwork),

7VXLANVXLAN虛擬擴(kuò)展局域網(wǎng)(VirtualeXtensibleLocalAreaNetwork)

4教育城域網(wǎng)網(wǎng)絡(luò)架構(gòu)

教育城域網(wǎng)包括有線部分和無(wú)線部分，有線部分由接入，匯聚，核心三層設(shè)備組成，搭配城域網(wǎng)SDN

控制器。無(wú)線部分由無(wú)線AC、無(wú)線AP組成。

整體網(wǎng)絡(luò)架構(gòu)如下：

（1）接入到匯聚使用VLAN進(jìn)行聯(lián)通，在匯聚層設(shè)備上，不同VLAN映射到不同Vxlan進(jìn)行

隔離，同時(shí)匯聚和核心設(shè)備之間運(yùn)行Vxlan構(gòu)建overlay網(wǎng)絡(luò)，構(gòu)建一個(gè)邏輯上的大二層網(wǎng)絡(luò)，

同時(shí)采用分布式L3網(wǎng)關(guān)并通過(guò)可靠的機(jī)制有效地抑制廣播風(fēng)暴。

（2）策略管理上采用了面向用戶的分組模式，將屬性或者訪問(wèn)權(quán)限相近的用戶分到一

個(gè)安全組中，同時(shí)也將服務(wù)器側(cè)的資源劃分到安全組進(jìn)行統(tǒng)一管理。策略定義時(shí)，基于可視

化的SDN控制臺(tái)方式實(shí)現(xiàn)，簡(jiǎn)單直觀。

（3）基于5W1H的靈活的用戶認(rèn)證接入機(jī)制，根據(jù)who（誰(shuí)），whose（誰(shuí)的設(shè)備），what

（什么設(shè)備），when（什么時(shí)間），where（什么地點(diǎn)），how（什么方式）多個(gè)維度覆蓋各

種接入場(chǎng)景。用戶可根據(jù)自己的需求，靈活定制場(chǎng)景，滿足自己個(gè)性化的需求。

（4）支持用戶終端在整個(gè)生命周期中mac和IP的強(qiáng)綁定，終端不管移動(dòng)到哪里，可以做

到終端始終綁定唯一固定的IP，滿足城域網(wǎng)安全管理需求。

（5）整網(wǎng)的核心是城域網(wǎng)SDN控制器。所有對(duì)網(wǎng)絡(luò)的自動(dòng)化上線，接入管理，用戶組/

策略管理，業(yè)務(wù)配置管理全部在SDN控制器上通過(guò)直觀的圖形化界面完成。SDN控制器將管理

員的操作在后臺(tái)轉(zhuǎn)化為網(wǎng)絡(luò)設(shè)備的具體命令進(jìn)行下發(fā)給設(shè)備執(zhí)行。

在此架構(gòu)下，為了實(shí)現(xiàn)分層設(shè)計(jì)分層部署，需要將Underlay和Overlay的部分分開(kāi)進(jìn)行設(shè)計(jì)。

4.1Underlay網(wǎng)絡(luò)架構(gòu)

城域網(wǎng)的Underlay網(wǎng)絡(luò)系統(tǒng)是一張物理網(wǎng)，采取樹(shù)形結(jié)構(gòu)部署，分為核心層、匯聚層、接入層，以

及無(wú)線管理區(qū)、網(wǎng)絡(luò)管理區(qū)、出口互聯(lián)區(qū)、安全檢查區(qū)。其中核心層、匯聚層和網(wǎng)絡(luò)管理區(qū)是最重要的

部分，設(shè)計(jì)中需要重點(diǎn)關(guān)注。

各區(qū)/層有如下定義和作用：

核心層（Spine層）：是城域網(wǎng)數(shù)據(jù)交互的核心，連接城域網(wǎng)各個(gè)部分，負(fù)責(zé)路由反射、數(shù)據(jù)高

速轉(zhuǎn)發(fā)等，通常要部署性能高、穩(wěn)定性好的交換機(jī)，多采用框式中高端交換機(jī)。部署于電教館

數(shù)據(jù)中心。

匯聚層（Leaf層）：是城域網(wǎng)用戶的分布式網(wǎng)關(guān)，負(fù)責(zé)用戶接入、東西向流量轉(zhuǎn)發(fā)、南北向流

量轉(zhuǎn)發(fā)。通常在部署的時(shí)候要兼顧成本和性能，根據(jù)用戶數(shù)選用滿足成本要求的中低端盒式交

換機(jī)。在一些對(duì)性能和穩(wěn)定性要求高的應(yīng)用場(chǎng)景，也可以選中端框式交換機(jī)。通常部署于各學(xué)

校、教育機(jī)構(gòu)的數(shù)據(jù)中心機(jī)房。

接入層（Access層）：負(fù)責(zé)城域網(wǎng)中有線用戶接入和無(wú)線AP接入，通常選用中低端盒式交換機(jī)，

端口數(shù)量多，不需要支持太多三層功能。接入層區(qū)分有線接入層和無(wú)線接入層，無(wú)線接入層選

用的交換機(jī)需要支持POE供電，成本會(huì)較普通交換機(jī)高，所以有線接入層和無(wú)線接入層一般會(huì)分

開(kāi)部署，避免浪費(fèi)POE端口。接入層交換機(jī)支持通過(guò)級(jí)聯(lián)擴(kuò)展接入端口數(shù)量，但是為了支持自動(dòng)

化，對(duì)接入層數(shù)有一定限制，一般不超過(guò)三層。通常部署于終端用戶側(cè)弱電間。

無(wú)線管理區(qū)：是城域網(wǎng)內(nèi)部署無(wú)線控制器（后續(xù)簡(jiǎn)稱無(wú)線AC）的區(qū)域。推薦使用獨(dú)立AC部署，

旁掛核心交換機(jī)，根據(jù)需要管理的無(wú)線AP數(shù)量和無(wú)線用戶數(shù)量，可以選擇一組或多組無(wú)線AC來(lái)

進(jìn)行管理。建議統(tǒng)一部署于電教館數(shù)據(jù)中心機(jī)房。

網(wǎng)絡(luò)管理區(qū)：用于部署網(wǎng)絡(luò)管理服務(wù)器的區(qū)域，如網(wǎng)管系統(tǒng)，AAA認(rèn)證服務(wù)器，SDN控制器等。

網(wǎng)絡(luò)管理區(qū)與核心區(qū)之間需要采用三層交換機(jī)連接，確保IP可達(dá)。

出口互聯(lián)區(qū)：是城域網(wǎng)內(nèi)部網(wǎng)絡(luò)的邊界，部署負(fù)載均衡設(shè)備，負(fù)責(zé)園區(qū)外部WAN網(wǎng)、專網(wǎng)、Internet

與城域網(wǎng)內(nèi)部網(wǎng)絡(luò)的互通。

安全檢查區(qū)：主要用于部署防火墻等安全檢測(cè)設(shè)備，旁掛核心交換機(jī)，可以對(duì)南北向和東西向

流量進(jìn)行安全檢測(cè)。

組網(wǎng)描述：

核心層交換機(jī)和匯聚層交換機(jī)采用堆疊，兩兩組成堆疊體，保證設(shè)備冗余和鏈路冗余，避免單

點(diǎn)故障。核心交換機(jī)和匯聚交換機(jī)之間采用EVPN協(xié)議構(gòu)建Overlay邏輯組網(wǎng)。

接入層交換機(jī)雙線雙歸屬到對(duì)應(yīng)的匯聚交換機(jī)組中，同時(shí)接入交換機(jī)還可以進(jìn)行多級(jí)級(jí)聯(lián)（一

般不超過(guò)三層），以滿足不同場(chǎng)景下的特殊需求。

多速率PoE接入層交換機(jī)支持5G/2.5G/1G,可滿足大功率高速WiFi6AP的接入。

無(wú)線網(wǎng)絡(luò)，無(wú)線控制器旁掛在Spine上，無(wú)線控制器完成無(wú)線終端的認(rèn)證，無(wú)線終端的網(wǎng)關(guān)落在

Spine交換機(jī)上。

防火墻旁掛在Spine交換機(jī)上，采用聚合連接到兩臺(tái)Spine上，單臂模式，提供跨VRF和內(nèi)部訪問(wèn)

外部網(wǎng)絡(luò)的安全控制。

服務(wù)器區(qū)提供設(shè)備自動(dòng)化上線、業(yè)務(wù)部署、認(rèn)證、管理、運(yùn)維服務(wù)，與Spine三層互通。

4.2Overlay網(wǎng)絡(luò)架構(gòu)

整體網(wǎng)絡(luò)物理架構(gòu)由核心層、匯聚層以及接入層設(shè)備構(gòu)成，不同點(diǎn)是在核心層與匯聚層設(shè)備上啟用

Overlay技術(shù)，同時(shí)在內(nèi)部服務(wù)器區(qū)部署SDN控制器，并由SDN控制器控制整個(gè)網(wǎng)絡(luò)的運(yùn)行。具體設(shè)計(jì)如

下。

核心層和匯聚層設(shè)備之間構(gòu)建overlay網(wǎng)絡(luò)，構(gòu)建一個(gè)無(wú)狀態(tài)網(wǎng)絡(luò)，同時(shí)采用分布式L3網(wǎng)關(guān)并通

過(guò)可靠的機(jī)制有效地抑制廣播風(fēng)暴，接入層設(shè)備采用動(dòng)態(tài)VLAN接入，匯聚層再完成VLAN到VxLAN

的映射。

策略管理上采用了面向用戶的分組模式，將屬性相同的設(shè)備或者訪問(wèn)權(quán)限相近的用戶分到一個(gè)

策略組中，同時(shí)也將服務(wù)器側(cè)的資源劃分到相應(yīng)的策略組進(jìn)行統(tǒng)一管理。

采用認(rèn)證系統(tǒng)，根據(jù)用戶登錄的用戶名或設(shè)備的MAC地址與IP地址綁定，實(shí)現(xiàn)用戶或設(shè)備不管到

任何地方，其IP地址不變，從而使得其的安全策略也不便，方便管理運(yùn)維。

方案的核心是SDN網(wǎng)控制器組件。整網(wǎng)的核心是城域網(wǎng)SDN控制器。所有對(duì)網(wǎng)絡(luò)的自動(dòng)化上線，

接入管理，用戶組/策略管理，業(yè)務(wù)配置管理全部在SDN控制器上通過(guò)直觀的圖形化界面完成。

SDN控制器將管理員的操作在后臺(tái)轉(zhuǎn)化為網(wǎng)絡(luò)設(shè)備的具體命令進(jìn)行下發(fā)給設(shè)備執(zhí)行。

服務(wù)器管理區(qū)，SDN控制器/DHCP服務(wù)器和網(wǎng)絡(luò)設(shè)備之間三層互聯(lián)；

Spine設(shè)備與Leaf設(shè)備之間連接的鏈路為underlay鏈路，配置Spine和Leaf設(shè)備之間路由可達(dá)；

Leaf下行口作為用戶上線認(rèn)證點(diǎn)

Leaf與Access設(shè)備連接的鏈路為L(zhǎng)eaf下行接口，Leaf下行接口配置為認(rèn)證接口，用于用

戶認(rèn)證；

當(dāng)用戶上線時(shí)，Leaf設(shè)備通過(guò)“下行接口+VLANID”來(lái)識(shí)別不同的Access接口，并且根據(jù)

不同的登錄帳號(hào)進(jìn)入到不同的安全組內(nèi)；

認(rèn)證用戶通過(guò)DHCPRelay在option82中攜帶不同的安全組信息，向DHCPServer申請(qǐng)分配

ip地址；

DHCPServer識(shí)別安全組信息，分配對(duì)應(yīng)的ip地址；

Access設(shè)備VLAN分配規(guī)則

Access設(shè)備作為二層接入設(shè)備，用于連接終端設(shè)備。Access與Leaf設(shè)備連接的鏈路為

Access上行接口，配置為porttrunkpermitVLANall；

SDN控制器會(huì)為Access設(shè)備的每個(gè)下行接口分配一個(gè)VLANID，來(lái)標(biāo)記每個(gè)終端的位置；從

VLAN101開(kāi)始，同一臺(tái)Leaf下，不同下行接口連接的Access設(shè)備，VLAN都是從VLAN101

開(kāi)始分配，可解決VLAN數(shù)量的限制問(wèn)題。

4.3標(biāo)準(zhǔn)VXLAN模型組網(wǎng)

適用于總部（電教館）+多分支（下屬學(xué)校）的接入場(chǎng)景，或者多個(gè)主園區(qū)接入場(chǎng)景?？刂平M件、

分析組件、DHCP服務(wù)器集中部署在一個(gè)主園區(qū)。AC可集中部署在電教館，所有的AP都注冊(cè)到該AC；

也可在每個(gè)學(xué)校分布式部署，每個(gè)學(xué)校的AP注冊(cè)到各自的AC。

SDN方案可以實(shí)現(xiàn)無(wú)狀態(tài)網(wǎng)絡(luò)、策略隨行、網(wǎng)隨人動(dòng)、有線無(wú)線一體化、虛擬網(wǎng)絡(luò)隔離、業(yè)務(wù)按需

交付、設(shè)備自動(dòng)部署、園區(qū)一鍵啟動(dòng)等全部方案亮點(diǎn)。

5出口安全

5.1數(shù)據(jù)安全

數(shù)據(jù)安全是在數(shù)據(jù)的整個(gè)生命周期中保護(hù)數(shù)據(jù)免受未經(jīng)授權(quán)的訪問(wèn)、損壞或盜竊的做法。這個(gè)概念

涵蓋了信息安全的各個(gè)方面，從硬件和存儲(chǔ)設(shè)備的物理安全到管理和訪問(wèn)控制，以及軟件應(yīng)用程序的邏

輯安全。它還包括組織政策和程序。

數(shù)據(jù)安全主要分為三個(gè)方面：數(shù)據(jù)的傳輸加密、數(shù)據(jù)傳輸端點(diǎn)安全、數(shù)據(jù)傳輸通道安全和數(shù)據(jù)傳輸

的訪問(wèn)控制。

5.1.1數(shù)據(jù)傳輸加密

數(shù)據(jù)傳輸過(guò)程的數(shù)據(jù)加密，是確保數(shù)據(jù)傳輸安全最有效的技術(shù)之一。數(shù)據(jù)傳輸加密包括網(wǎng)絡(luò)通道加

密和信源加密，其中網(wǎng)絡(luò)通道加密包括基于SSL和IPSEC協(xié)議的VPN技術(shù)，依托協(xié)議中的加密和認(rèn)證技

術(shù)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的機(jī)密性和完整性保護(hù)，滿足移動(dòng)辦公接入、安全組網(wǎng)等需求。信源加密會(huì)在數(shù)

據(jù)流動(dòng)之前先應(yīng)用加密技術(shù)進(jìn)行加密，在接收端對(duì)加密的數(shù)據(jù)進(jìn)行解密。每一次兩點(diǎn)之間的數(shù)據(jù)傳輸過(guò)

程，都會(huì)有加密及解密的過(guò)程，一個(gè)數(shù)據(jù)到達(dá)目的地之前，可能會(huì)經(jīng)過(guò)很多的傳輸鏈路，也會(huì)經(jīng)歷很多

加解密的過(guò)程。在線加密技術(shù)可以有效確保在網(wǎng)絡(luò)傳輸過(guò)程的數(shù)據(jù)流是處于非明文狀態(tài)，縱使被黑客攔

截，也可以有效保障數(shù)據(jù)安全性，防止非授權(quán)用戶的搭線竊聽(tīng)和入網(wǎng)，以及數(shù)據(jù)傳輸過(guò)程中被竊取和篡

改。這是比較成熟的技術(shù)方案，但在實(shí)踐應(yīng)用過(guò)程，需要結(jié)合以下要點(diǎn)綜合全面考慮環(huán)境部署。

數(shù)據(jù)機(jī)密性

數(shù)據(jù)傳輸過(guò)程的數(shù)據(jù)機(jī)密性，即傳輸?shù)臄?shù)據(jù)不能明文，這是數(shù)據(jù)傳輸安全最基本的要求。常見(jiàn)的數(shù)

據(jù)加解密算法有以下幾種：對(duì)稱算法(國(guó)產(chǎn)算法SM1、SM4，國(guó)際算法DES、3DES、AES)，非對(duì)稱算法（國(guó)

產(chǎn)算法SM2，國(guó)際算法RSA）以及哈希算法(國(guó)產(chǎn)算法SM3，國(guó)際算法SHA512)。對(duì)稱算法加解密優(yōu)點(diǎn)是

加密解密的速度快，適合于大量數(shù)據(jù)的加密；非對(duì)稱算法的加解密效率低，一般也沒(méi)有必須用于大量數(shù)

據(jù)的加密，通?？梢杂糜跀?shù)據(jù)加密秘鑰交換的加密。一般數(shù)據(jù)傳輸過(guò)程，采用TLS、SSH等加密協(xié)議，

可以認(rèn)為數(shù)據(jù)傳輸過(guò)程中數(shù)據(jù)保密性合規(guī)。

這些加密算法應(yīng)用非常成熟，組織在應(yīng)用加密技術(shù)時(shí)，不能以技術(shù)至上，需要從整個(gè)組織的角度，

綜合考量技術(shù)與經(jīng)濟(jì)效率的平衡，圍繞“價(jià)值-風(fēng)險(xiǎn)”雙元統(tǒng)一的風(fēng)險(xiǎn)管理思想，在保障數(shù)據(jù)傳輸安全

基本要求的前提下，做出適合組織實(shí)際應(yīng)用的決策。組織并不會(huì)使用單一的加密技術(shù)，往往會(huì)各類技術(shù)

混合使用、互補(bǔ)優(yōu)缺點(diǎn)使數(shù)據(jù)的傳輸更加安全。

數(shù)據(jù)完整性

數(shù)據(jù)傳輸過(guò)程的數(shù)據(jù)完整性，可以通過(guò)校驗(yàn)技術(shù)或密碼技術(shù)來(lái)檢測(cè)包括鑒別數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、審計(jì)

數(shù)據(jù)、配置數(shù)據(jù)、重要個(gè)人信息、網(wǎng)絡(luò)數(shù)據(jù)等數(shù)據(jù)，確保數(shù)據(jù)正常傳輸、不掉包、傳輸過(guò)程未被篡改以

及非授權(quán)訪問(wèn)。數(shù)據(jù)傳輸過(guò)程一般會(huì)通過(guò)協(xié)議來(lái)實(shí)現(xiàn)數(shù)據(jù)報(bào)文的完整性校驗(yàn)。如數(shù)據(jù)傳輸應(yīng)用TLS、SSH

協(xié)議，會(huì)通過(guò)MAC來(lái)校驗(yàn)，可以認(rèn)為數(shù)據(jù)傳輸過(guò)程中數(shù)據(jù)完整性合規(guī)。

數(shù)據(jù)可用性

數(shù)據(jù)傳輸過(guò)程的數(shù)據(jù)可用性，主要為了保障對(duì)數(shù)據(jù)的持續(xù)訪問(wèn)以及當(dāng)數(shù)據(jù)遭受意外攻擊或破壞時(shí)，

可以迅速恢復(fù)并能投入使用。具體包括為了避免網(wǎng)絡(luò)設(shè)備以及通信線路出現(xiàn)故障時(shí)引起數(shù)據(jù)通信中斷，

針對(duì)關(guān)鍵鏈路采用冗余技術(shù)設(shè)計(jì)等手段增強(qiáng)數(shù)據(jù)訪問(wèn)的可靠性；為保障應(yīng)用場(chǎng)景下的業(yè)務(wù)連續(xù)性，實(shí)現(xiàn)

冗余系統(tǒng)的平穩(wěn)及時(shí)切換，快速恢復(fù)運(yùn)行，盡可能減少數(shù)據(jù)傳輸?shù)闹袛鄷r(shí)間，例如通過(guò)磁盤(pán)陣列、數(shù)據(jù)

備份、異地容災(zāi)等手段，以規(guī)避硬件故障、軟件故障、環(huán)境風(fēng)險(xiǎn)、人為故障、自然災(zāi)害等風(fēng)險(xiǎn)，確保合

法用戶可以對(duì)信息和資源的順利的使用。

近兩年來(lái)，在政策驅(qū)動(dòng)和需求牽引的共同作用下，隱私計(jì)算技術(shù)創(chuàng)新與落地應(yīng)用快速推進(jìn)。隱私計(jì)

算是涉及密碼學(xué)、統(tǒng)計(jì)學(xué)、人工智能、計(jì)算機(jī)硬件等多學(xué)科交叉融合的技術(shù)體系，具體是指由兩個(gè)或多

個(gè)參與方在不泄露原始數(shù)據(jù)的前提下，通過(guò)硬件可信執(zhí)行環(huán)境、聯(lián)邦學(xué)習(xí)、多方安全計(jì)算等技術(shù)手段，

保障數(shù)據(jù)在使用、加工、傳輸、提供、公開(kāi)等數(shù)據(jù)處理活動(dòng)中的“可用不可見(jiàn)”，保護(hù)數(shù)據(jù)不透明、不

泄露、無(wú)法被惡意攻擊及被其他非授權(quán)方獲取，同時(shí)滿足數(shù)據(jù)開(kāi)放共享和數(shù)據(jù)安全保護(hù)的雙重要求，最

終產(chǎn)生超出自身原始數(shù)據(jù)的更高價(jià)值。

5.1.2數(shù)據(jù)傳輸端點(diǎn)安全

一般來(lái)說(shuō)，應(yīng)用加密技術(shù)能夠有效確保數(shù)據(jù)存儲(chǔ)安全。但是在實(shí)踐中，對(duì)所有數(shù)據(jù)存儲(chǔ)使用加密解

密技術(shù)，會(huì)影響業(yè)務(wù)數(shù)據(jù)訪問(wèn)時(shí)效性，尤其是高頻交互數(shù)據(jù)。因此，通過(guò)對(duì)數(shù)據(jù)傳輸端點(diǎn)搭建有效的安

全防護(hù)體系，選取關(guān)鍵增強(qiáng)點(diǎn)進(jìn)行加密，也是組織在實(shí)踐中應(yīng)用比較多的數(shù)據(jù)安全方案，主動(dòng)防御數(shù)據(jù)

不被篡改或泄露。

應(yīng)用服務(wù)器到數(shù)據(jù)庫(kù)

數(shù)據(jù)可分為結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)，結(jié)構(gòu)化數(shù)據(jù)存儲(chǔ)于數(shù)據(jù)庫(kù)，例如組織的人事資料、財(cái)務(wù)數(shù)

據(jù)、銷售采購(gòu)數(shù)據(jù)等，一般會(huì)存儲(chǔ)于數(shù)據(jù)庫(kù)。數(shù)據(jù)庫(kù)是一個(gè)應(yīng)用系統(tǒng)、平臺(tái)系統(tǒng)最核心的部分，隨著數(shù)

據(jù)的資產(chǎn)化，組織最重要的資產(chǎn)在于數(shù)據(jù)庫(kù)。應(yīng)用服務(wù)器數(shù)據(jù)流轉(zhuǎn)到數(shù)據(jù)庫(kù)，可以進(jìn)行前置代理加密以

及后置代理加密技術(shù)在數(shù)據(jù)出口第一時(shí)間進(jìn)行數(shù)據(jù)加密。數(shù)據(jù)庫(kù)加密網(wǎng)關(guān)，是數(shù)據(jù)庫(kù)前置代理加密技術(shù)

的一種，一般是獨(dú)立的組件產(chǎn)品，部署在數(shù)據(jù)庫(kù)服務(wù)器及應(yīng)用服務(wù)器之間，解析數(shù)據(jù)庫(kù)協(xié)議，在數(shù)據(jù)保

存到數(shù)據(jù)庫(kù)之前對(duì)敏感數(shù)據(jù)進(jìn)行加密，并將密文存儲(chǔ)于數(shù)據(jù)庫(kù)中，從而起到保護(hù)數(shù)據(jù)安全的效果。

應(yīng)用服務(wù)器到互聯(lián)網(wǎng)

常見(jiàn)的應(yīng)用服務(wù)器系統(tǒng)有Web服務(wù)器、FTP服務(wù)器以及郵件服務(wù)器，這些服務(wù)器均需要發(fā)布到互聯(lián)

網(wǎng)讓用戶進(jìn)行訪問(wèn)。Web服務(wù)器通過(guò)HTTP協(xié)議規(guī)范了瀏覽器和Web服務(wù)器通信數(shù)據(jù)的格式，F(xiàn)TP服務(wù)器

通過(guò)FTP協(xié)議實(shí)現(xiàn)服務(wù)器與客戶端之間的文件傳輸及共享，郵件服務(wù)器則通過(guò)SMTP及POP協(xié)議與客戶

端進(jìn)行收發(fā)郵件。但HTTP協(xié)議、FTP協(xié)議是以明文方式進(jìn)行數(shù)據(jù)傳輸，沒(méi)有提供任何方式的數(shù)據(jù)加密。

如果攻擊者截取終端與服務(wù)器之間的報(bào)文，將存在巨大的的安全隱患。因此，目前多數(shù)服務(wù)器會(huì)在應(yīng)用

層協(xié)議與TCP/IP協(xié)議間，增加SSL協(xié)議，保障數(shù)據(jù)傳輸安全合規(guī)。

應(yīng)用服務(wù)器到終端

除了上述通過(guò)安全通信協(xié)議來(lái)確保應(yīng)用服務(wù)器到互聯(lián)網(wǎng)的數(shù)據(jù)傳輸安全之外，組織還會(huì)通過(guò)安全代

理網(wǎng)關(guān)來(lái)進(jìn)一步加強(qiáng)訪問(wèn)終端與應(yīng)用服務(wù)器之間的傳輸安全。常見(jiàn)的安全代理網(wǎng)關(guān)，如CASB代理網(wǎng)關(guān)，

是利用云訪問(wèn)安全機(jī)制的委托式安全代理技術(shù)，不需要改造目標(biāo)應(yīng)用，通過(guò)適配目標(biāo)應(yīng)用，對(duì)客戶端請(qǐng)

求進(jìn)行解析，并分析出包含的敏感數(shù)據(jù)，結(jié)合用戶身份，通過(guò)安全策略對(duì)訪問(wèn)請(qǐng)求進(jìn)行脫敏等控制來(lái)進(jìn)

行數(shù)據(jù)傳輸?shù)陌踩芸亍?/p>

5.1.3數(shù)據(jù)傳輸通道安全

代理服務(wù)器到終端

基于SSL協(xié)議的傳輸加密技術(shù)主要應(yīng)用于傳輸層的安全，采用密碼算法和數(shù)字證書(shū)認(rèn)證技術(shù)，確保

登錄用戶的身份安全可信，以及數(shù)據(jù)傳輸?shù)臋C(jī)密性、完整性，滿足固定臺(tái)式終端、移動(dòng)辦公用戶、移動(dòng)

智能終端等不同場(chǎng)景、不同平臺(tái)的可信接入需求。

代理服務(wù)器到互聯(lián)網(wǎng)

https在http的基礎(chǔ)上加入了SSL協(xié)議，SSL依靠證書(shū)來(lái)驗(yàn)證服務(wù)器的身份，并為瀏覽器和服務(wù)器

之間的通信加密。可信安全SSL站點(diǎn)證書(shū)用于標(biāo)識(shí)網(wǎng)站真實(shí)身份，它能夠?qū)崿F(xiàn)網(wǎng)站身份驗(yàn)證，確保用戶

訪問(wèn)網(wǎng)站的真實(shí)性，確保用戶所瀏覽的信息是真實(shí)的網(wǎng)站信息，能有效防范假冒網(wǎng)站和釣魚(yú)網(wǎng)站。

代理服務(wù)器到代理服務(wù)器

基于IPSEC協(xié)議的傳輸加密技術(shù)主要應(yīng)用于網(wǎng)絡(luò)層IP包傳輸?shù)陌踩?，包括傳輸模式和隧道模式?/p>

也就是網(wǎng)絡(luò)層的安全傳輸。采用密碼算法對(duì)用戶報(bào)文進(jìn)行加密，采用ESP協(xié)議對(duì)用戶報(bào)文進(jìn)行重新封裝，

確保用戶信息傳輸安全，滿足不同分支機(jī)構(gòu)之間以及分支機(jī)構(gòu)與總部之間的加密組網(wǎng)需求。

5.1.4數(shù)據(jù)傳輸訪問(wèn)控制。

除了數(shù)據(jù)傳輸過(guò)程中對(duì)數(shù)據(jù)本身的安全考量，對(duì)數(shù)據(jù)進(jìn)行訪問(wèn)控制管理，也能夠有效控制數(shù)據(jù)傳輸

安全。數(shù)據(jù)傳輸訪問(wèn)控制可以防止非授權(quán)人員訪問(wèn)、修改、篡改以及破壞系統(tǒng)資源，防止數(shù)據(jù)遭到惡意

破壞。訪問(wèn)控制主要有以下實(shí)現(xiàn)方式。

身份認(rèn)證

身份認(rèn)證訪問(wèn)控制是指通過(guò)身份認(rèn)證技術(shù)限制用戶對(duì)數(shù)據(jù)或資源的訪問(wèn)。常見(jiàn)的身份認(rèn)證方式，包

括口令認(rèn)證技術(shù)、雙因素身份認(rèn)證技術(shù)、數(shù)字證書(shū)的身份認(rèn)證技術(shù)、基于生物特征的身份認(rèn)證技術(shù)、

Kerberos身份認(rèn)證機(jī)制、協(xié)同簽名技術(shù)、標(biāo)識(shí)認(rèn)證技術(shù)等。常見(jiàn)的身份認(rèn)證訪問(wèn)控制應(yīng)用場(chǎng)景，包括：

已經(jīng)離職以及在職時(shí)采用生理特征進(jìn)行訪問(wèn)控制的員工，應(yīng)于離職后及時(shí)刪除基于生物特征錄入的信

息；外部人員訪問(wèn)時(shí)應(yīng)進(jìn)行身份認(rèn)證來(lái)進(jìn)行訪問(wèn)控制；數(shù)據(jù)處理中心的物理安全也應(yīng)進(jìn)行身份認(rèn)證來(lái)進(jìn)

行訪問(wèn)控制，如機(jī)房門(mén)口應(yīng)配置電子門(mén)禁系統(tǒng)等技術(shù)手段進(jìn)行訪問(wèn)控制。

權(quán)限限制

權(quán)限限制訪問(wèn)控制是指基于最小特權(quán)原則、最小泄露原則、多級(jí)安全策略來(lái)限制用戶對(duì)數(shù)據(jù)或資源

的訪問(wèn)。常見(jiàn)的權(quán)限限制訪問(wèn)控制方式，包括：訪問(wèn)控制表、訪問(wèn)控制矩陣、訪問(wèn)控制能力列表、訪問(wèn)

控制安全標(biāo)簽列表等，例如，通過(guò)對(duì)比用戶的安全級(jí)別和客體資源的安全級(jí)別（絕密、秘密、機(jī)密、限

制以及無(wú)級(jí)別）來(lái)判斷用戶是否有權(quán)限可以進(jìn)行訪問(wèn)；對(duì)用戶進(jìn)行角色劃分，并授予管理用戶所需的最

小權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離；對(duì)系統(tǒng)資源的訪問(wèn)是通過(guò)訪問(wèn)控制列表加以控制的，即當(dāng)用戶試圖

訪問(wèn)資源或者數(shù)據(jù)時(shí)，系統(tǒng)會(huì)控制用戶對(duì)有安全標(biāo)記資源的訪問(wèn)。

端口開(kāi)放訪問(wèn)控制

服務(wù)器傳輸數(shù)據(jù)過(guò)程，除了需要目標(biāo)IP地址外，還需要開(kāi)放一些服務(wù)端口。通過(guò)系統(tǒng)的端口，能

夠使運(yùn)行不同操作系統(tǒng)的計(jì)算機(jī)應(yīng)用進(jìn)程互相通訊。端口分為公認(rèn)的默認(rèn)端口和動(dòng)態(tài)端口。默認(rèn)端口是

用于明確某種服務(wù)的協(xié)議，例如默認(rèn)情況2端口是分配給FTP服務(wù)，25端口分配給SMTP服務(wù)，80端口

分配給HTTP服務(wù)；動(dòng)態(tài)端口則是用于動(dòng)態(tài)分配給一些系統(tǒng)進(jìn)程或應(yīng)用程序。應(yīng)用服務(wù)器應(yīng)根據(jù)提供服

務(wù)的需求，有限開(kāi)放對(duì)應(yīng)端口，限制不必要的端口開(kāi)放，從而有效限制數(shù)據(jù)傳輸泄密的風(fēng)險(xiǎn)。

5.2FW正常時(shí)的上下行路徑規(guī)劃

FW正常時(shí)上下行路徑規(guī)劃

上行：業(yè)務(wù)流量到Border上，Border在業(yè)務(wù)VPN內(nèi)查找靜態(tài)默認(rèn)路由，由于下一跳是FW的路由優(yōu)

先級(jí)高，故Border將報(bào)文轉(zhuǎn)發(fā)到FW。FW上處理完后，根據(jù)靜態(tài)默認(rèn)路由，將報(bào)文轉(zhuǎn)發(fā)到Border。

Border在PublicVPN中，根據(jù)默認(rèn)靜態(tài)路由，將報(bào)文轉(zhuǎn)發(fā)給路由器。

下行：外網(wǎng)回來(lái)的報(bào)文到Border后，Border通過(guò)匹配PBR，把匹配PBR的報(bào)文轉(zhuǎn)發(fā)到FW。FW處理

完后，根據(jù)配置的靜態(tài)明細(xì)路由（安全組所在的網(wǎng)段）將報(bào)文轉(zhuǎn)發(fā)到Border。Border在業(yè)務(wù)VPN

內(nèi)，查找路由，將報(bào)文轉(zhuǎn)發(fā)到對(duì)應(yīng)的Leaf設(shè)備。

注意：需要事先將PublicVPN跟業(yè)務(wù)VPN進(jìn)行路由互引。

5.3FW故障時(shí)的上下行路徑規(guī)劃

FW故障時(shí)上下行路徑規(guī)劃

上行流量：FW故障時(shí)，Border上的默認(rèn)靜態(tài)路由的下一條是路由器，故Border將業(yè)務(wù)VPN流量發(fā)

給到路由器。

下行流量：由于FW故障時(shí)，Border配置的PBR失效，故Border走正常的路由轉(zhuǎn)發(fā)，將報(bào)文轉(zhuǎn)發(fā)到

對(duì)應(yīng)的Leaf設(shè)備。

如果FW為兩臺(tái)，需要FW運(yùn)行VRRP。

上行路徑中，Border上的靜態(tài)默認(rèn)路由的下一跳是VRRP組的虛IP地址。這樣，當(dāng)其中一臺(tái)FW故

障，由于下一跳是VRRP的虛IP地址，Border不感知，仍會(huì)把報(bào)文轉(zhuǎn)發(fā)到FW，由正常工作的FW做

后續(xù)處理。

下行路徑中，Border上的PBR配置的下一跳是VRRP組的虛IP地址。這樣，當(dāng)其中一臺(tái)FW故障，

Border不感知，仍會(huì)把報(bào)文發(fā)給FW，由正常工作的FW做后續(xù)處理。

6柔性網(wǎng)絡(luò)

柔性一方面指網(wǎng)絡(luò)架構(gòu)本身非常靈活，業(yè)務(wù)部署（應(yīng)用/終端）可以做到與位置無(wú)關(guān)；另一方面指

徹底改變傳統(tǒng)網(wǎng)絡(luò)通道就緒，終端和人根據(jù)位置匹配通道的模式，將人和應(yīng)用作為中心，所有網(wǎng)絡(luò)的資

源跟隨人和應(yīng)用移動(dòng)。柔性具體涵義包括如下幾個(gè)亮點(diǎn)：

6.1無(wú)狀態(tài)網(wǎng)絡(luò)

SDN方案中“位址分離”位指位置，“址”指IP地址，“位址分離”就是IP地址與位置解耦，讓IP

地址可以在任意位置接入，無(wú)需改變網(wǎng)絡(luò)的配置。

位址分離

6.2用戶策略隨行

策略隨行：指用戶移動(dòng)到哪里，用戶的體驗(yàn)不變；一般上要實(shí)現(xiàn)策略隨行，都需要對(duì)用戶進(jìn)行分組，

傳統(tǒng)的分組方式與地理位置緊耦合，同一個(gè)用戶組位于一個(gè)辦公區(qū)，一個(gè)樓層或者一個(gè)大樓之內(nèi)，很難

跨越地理的局限。這樣用戶一旦移動(dòng)起來(lái)，策略實(shí)施就非常復(fù)雜，想達(dá)到策略跟隨或者體驗(yàn)一致也非常

困難。

SDN方案策略隨行的核心就是“名址綁定”，名址綁定就是用戶和IP地址一一對(duì)應(yīng)；傳統(tǒng)網(wǎng)絡(luò)用戶

名和IP地址是難以做到綁定的，一方面DHCP的方式并不能保證單用戶每次獲取相同的IP，靜態(tài)地址

分配的方式又不能保障用戶在移動(dòng)過(guò)程中保持相同IP能夠在不同的位置進(jìn)行正常的網(wǎng)絡(luò)連接；SDN方

案中無(wú)狀態(tài)網(wǎng)絡(luò)本身提供了IP任意位置訪問(wèn)的能力，再配合名址綁定實(shí)現(xiàn)用戶位置發(fā)生了變化，IP地

址段也沒(méi)有變，甚至IP地址沒(méi)有變，針對(duì)IP的策略也沒(méi)有變，而這種針對(duì)IP的策略其實(shí)就是針對(duì)用

戶的策略，最終實(shí)現(xiàn)了用戶的策略隨行。

除了用戶和IP綁定，在某些場(chǎng)合可能不需要做非常強(qiáng)的捆綁，SDN可以提供業(yè)務(wù)和IP網(wǎng)段的綁定，

或者用戶組和IP網(wǎng)段的綁定，比如：視頻監(jiān)控終端盡管分布在全網(wǎng)任意位置，但可以將其IP全部分配

在某一個(gè)網(wǎng)段之內(nèi)；又比如財(cái)務(wù)的人員可能也分布在網(wǎng)絡(luò)不同的位置，我們也可以將其分配在同一個(gè)網(wǎng)

段內(nèi)；最終實(shí)現(xiàn)通過(guò)IP段標(biāo)識(shí)用戶組或業(yè)務(wù)組。

策略隨行

6.3網(wǎng)隨人動(dòng)

傳統(tǒng)園區(qū)網(wǎng)絡(luò)首先是通道就緒，終端根據(jù)最初的規(guī)劃，接入到相關(guān)接入交換機(jī)的端口，從而實(shí)現(xiàn)

VLAN等權(quán)限和終端的匹配，一方面不能夠解決用戶和終端任意位置接入權(quán)限分配的問(wèn)題，另外終端接

入位置也受限制。

SDN將人和應(yīng)用作為核心，所有網(wǎng)絡(luò)的資源跟隨人和應(yīng)用移動(dòng)，用戶在哪里接入、資源就下發(fā)到哪

里，真正體現(xiàn)柔性網(wǎng)絡(luò)的網(wǎng)隨人動(dòng)的特點(diǎn)。

網(wǎng)隨人動(dòng)

6.4無(wú)差別網(wǎng)絡(luò)

園區(qū)分支無(wú)差別：SDN無(wú)狀態(tài)網(wǎng)絡(luò)、用戶策略隨行、網(wǎng)隨人動(dòng)不僅僅可以在單園區(qū)實(shí)現(xiàn)，還可以跨

園區(qū)、在園區(qū)分子之間實(shí)現(xiàn)，滿足業(yè)務(wù)、用戶在更大范圍內(nèi)移動(dòng)化辦公，符合電教館的多分支架構(gòu)。

跨園區(qū)組網(wǎng)

園區(qū)分支無(wú)差別組網(wǎng)

6.5有線無(wú)線深度統(tǒng)一

SDN的有線無(wú)線深度融合網(wǎng)絡(luò)采用如下方式極大解放了AC和AP，面向未來(lái)的高速無(wú)線時(shí)代。

統(tǒng)一管理：通過(guò)統(tǒng)一的SDN控制器實(shí)現(xiàn)有線無(wú)線統(tǒng)一管理。一套管理系統(tǒng)，統(tǒng)一的有線無(wú)

線拓?fù)湔故?，有線無(wú)線用戶統(tǒng)一認(rèn)證，統(tǒng)一的基于5W1H劃分用戶組。

統(tǒng)一轉(zhuǎn)發(fā)：AC僅負(fù)責(zé)控制和管理下轄的大量AP，AP的數(shù)據(jù)流量轉(zhuǎn)發(fā)不再上AC，而是本地

轉(zhuǎn)發(fā)。這樣帶來(lái)兩個(gè)好處：1）由于AC不再負(fù)責(zé)數(shù)據(jù)轉(zhuǎn)發(fā)，性能瓶頸完全消除，完全順應(yīng)

將來(lái)高速無(wú)線的趨勢(shì)，而且AC成本可以大幅降低。甚至將來(lái)AC完全可以做成軟件集成到

SDN控制器中作為一個(gè)功能管控模塊。2）從AP轉(zhuǎn)發(fā)出來(lái)的報(bào)文不再封裝CAPWAP，而是802.3

格式的Ethernet報(bào)文，L3網(wǎng)關(guān)也都設(shè)置在交換機(jī)上。這樣消除了CAPWAP的加減封裝的處

理消耗，效率更高。AP發(fā)送出來(lái)的無(wú)線流量和從交換機(jī)/PC發(fā)送出來(lái)的有線流量一模一樣，

有線/無(wú)線流量完全混跑在一起，其他設(shè)備無(wú)法區(qū)分也不需要區(qū)分。

統(tǒng)一策略：由于無(wú)線的數(shù)據(jù)轉(zhuǎn)發(fā)完全從AC卸載到交換機(jī)上，之前我們策略隨行矩陣定義的

業(yè)務(wù)策略完全適用于有線和無(wú)線流量，也不需要單獨(dú)給無(wú)線再定義組間訪問(wèn)策略。此外，

在AP本地轉(zhuǎn)發(fā)模式下，依賴有線的無(wú)狀態(tài)網(wǎng)絡(luò)，解決跨三層漫游的問(wèn)題，無(wú)線終端依舊可

以跨整個(gè)園區(qū)漫游，而且不需要在AC側(cè)做復(fù)雜的處理。

有線無(wú)線融合

6.6網(wǎng)絡(luò)虛擬通道隔離

整網(wǎng)采用overlay的技術(shù)，天然具備跨廣域網(wǎng)的通道隔離能力，相比MPLS的隔離方式，VXLAN的

隔離只需要在端點(diǎn)（VTEP）做隔離，不需要全網(wǎng)隔離，端點(diǎn)之間只需要IP互通既可。一方面讓整個(gè)運(yùn)

維節(jié)點(diǎn)大幅減少，另一方面端點(diǎn)之間支持多運(yùn)營(yíng)商連接，負(fù)載均衡可以直接通過(guò)ECMP來(lái)實(shí)現(xiàn)，讓整個(gè)

組網(wǎng)清晰、運(yùn)維更簡(jiǎn)單。

在隔離方式上，SDN提供兩種隔離方式，一是類似MPLS的VRF隔離，每個(gè)用戶組在VTEP節(jié)點(diǎn)分配

不同的VRF，VRF之間在路由層面實(shí)現(xiàn)隔離，每個(gè)用戶在VRF內(nèi)通過(guò)VLAN映射成不同的VXLAN，最終實(shí)

現(xiàn)在通道內(nèi)通過(guò)VXLAN數(shù)據(jù)傳輸，實(shí)現(xiàn)隔離。二是ACL的隔離方式，因?yàn)槊總€(gè)用戶組在IP分配的時(shí)候

已經(jīng)分配在不同的網(wǎng)段，因此不同用戶組在接入之后獲取的是不同網(wǎng)段的IP，ACL隔離相對(duì)比較簡(jiǎn)單，

一條ACL就可以實(shí)現(xiàn)不同用戶組之間的網(wǎng)絡(luò)隔離。

網(wǎng)絡(luò)虛擬通道隔離

6.7良好的兼容性

SDN方案采用了VXLAN扁平化組網(wǎng)進(jìn)行二層隔離，結(jié)合分布式網(wǎng)關(guān)技術(shù)在將原本集中在核心的壓力

分散到各匯聚層設(shè)備上保障了整網(wǎng)的健壯性，提升了網(wǎng)絡(luò)的性能規(guī)格的同時(shí)，在控制組件統(tǒng)一管控下實(shí)

現(xiàn)了策略自動(dòng)跟隨、設(shè)備自動(dòng)化上線等功能，這不僅降低了運(yùn)維成本，同時(shí)實(shí)現(xiàn)了自動(dòng)化，進(jìn)一步的節(jié)

省了運(yùn)維的人力，可以稱得上是升級(jí)版的扁平化方案，是新建園區(qū)的不二之選。另一方面，僅需要匯聚、

核心設(shè)備支持VXLAN，在老園區(qū)改造中，可以最大程度的保護(hù)用戶的原有投資（V5、V7、第三方的接入

設(shè)備），降低用戶的改造成本，真正的做到物盡其用。

良好的兼容性

6.8彈性擴(kuò)展，擴(kuò)容無(wú)憂

SDN方案使用標(biāo)準(zhǔn)的EVPN協(xié)議（RFC7348+draft-sd-l2vnp-evpn-overlay，RFC7209，RFC7432）作

為VXLAN的控制平面構(gòu)建了分布式網(wǎng)關(guān)的組網(wǎng)模型，解決了VXLAN依賴于數(shù)據(jù)平面的flood-and-learn

學(xué)習(xí)遠(yuǎn)端地址信息所帶來(lái)的BUM報(bào)文廣播問(wèn)題；避免了采用集中式網(wǎng)關(guān)組網(wǎng)模型下，全網(wǎng)的規(guī)模受限于

核心層網(wǎng)關(guān)單臺(tái)設(shè)備的標(biāo)箱規(guī)格的局限；使得園區(qū)內(nèi)的流量可以按照最優(yōu)的路徑進(jìn)行轉(zhuǎn)發(fā)，避免了繞行

及對(duì)核心設(shè)備的沖擊；同時(shí)借助EVPN協(xié)議完成園區(qū)網(wǎng)絡(luò)的初始化配置，避免了過(guò)多的人為手工配置，

是自動(dòng)化部署的技術(shù)基礎(chǔ)。正因如上的諸多好處，使得EVPN成為園區(qū)網(wǎng)的控制平面首選。采用了EVPN

的園區(qū)網(wǎng)絡(luò)的規(guī)?？梢赃M(jìn)一步擴(kuò)展，滿足各行業(yè)網(wǎng)絡(luò)規(guī)模的不斷發(fā)展。

此外園區(qū)網(wǎng)控制組件支持分布式部署模式，當(dāng)園區(qū)規(guī)模發(fā)生變化的時(shí)候，通過(guò)增加相關(guān)組件license，

將園區(qū)控制組件的各組件依據(jù)所需的性能要求進(jìn)行升級(jí)或擴(kuò)容，采用分布式部署模型，滿足對(duì)跟大規(guī)模

園區(qū)的管控需求。

6.9IPv4/IPv6雙棧部署

SDN方案目前推薦部署IPv4/IPv6雙棧方式承載IPv6業(yè)務(wù)：

1、IPv4/IPv6雙棧部署方式同IPv4部署方式；

2、網(wǎng)絡(luò)管理、underlay網(wǎng)絡(luò)仍然采用IPv4；

3、Overlay網(wǎng)絡(luò)同時(shí)承載IPv4/IPv6流量；

4、用戶IPv4MACPortal認(rèn)證成功后，直接轉(zhuǎn)發(fā)該用戶的IPv6流量；

7IPv6業(yè)務(wù)部署

7.1典型組網(wǎng)

當(dāng)前SDN可以支持underlay為IPv4場(chǎng)景；Overlay可以為IPv6單棧，也可以是IPv4、v6雙棧。

IPv6對(duì)硬件資源消耗幾倍于IPv4，在非微分段模式下啟用IPv6的組間策略會(huì)讓網(wǎng)絡(luò)難以為繼，所以建

議在微分段模式下使用IPv6的組間策略能力。

SDN部署IPv6典型組網(wǎng)

7.2IPV6部署設(shè)計(jì)

7.2.1IPv6網(wǎng)絡(luò)設(shè)計(jì)

IPv6網(wǎng)絡(luò)的部署一般考慮以下兩種方式：

與IPv4共存一段時(shí)間作為過(guò)渡，雙棧部署

去除IPv4，僅保留IPv6，為IPv6單棧網(wǎng)絡(luò)

IPv6地址的分配也存在多種方式，可以通過(guò)DHCPv6服務(wù)器自動(dòng)分配，也可以通過(guò)網(wǎng)關(guān)無(wú)狀態(tài)方式。

多數(shù)終端兩種方式都可以支持，但無(wú)線終端略有不同。

無(wú)線終端主流的操作系統(tǒng)是IOS系統(tǒng)和Android系統(tǒng)，這兩種系統(tǒng)的終端獲取IPv6地址方式見(jiàn)下圖：

為兼容兩種操作系統(tǒng)無(wú)線終端，無(wú)線IPv6部署限制：

需為無(wú)線終端同時(shí)提供IPv4、IPv6地址

無(wú)線終端通過(guò)網(wǎng)關(guān)無(wú)狀態(tài)分配方式獲取IPv6地址

7.2.2IPv6路由學(xué)習(xí)

內(nèi)網(wǎng)路由同步：園區(qū)網(wǎng)終端經(jīng)過(guò)認(rèn)證后，會(huì)在LEAF設(shè)備上上線，生成IPv6的EVPN路由信息。

Leaf設(shè)備上終端的128位主機(jī)路由（ND）可以通過(guò)EVPN協(xié)議同步到Spine設(shè)備上，并加入到IPv6路由

表中

7.2.3DHCPv6Server部署

終端IPv6支持度：

Windows系統(tǒng)MAC系統(tǒng)Andriod系統(tǒng)IOS系統(tǒng)

DHCPv6YYNY

網(wǎng)關(guān)無(wú)狀態(tài)YYYY

默認(rèn)雙棧YYYY

NDRDNSSYYYY

備注：

Android系統(tǒng)需先獲取IPv4地址，然后才能通過(guò)網(wǎng)關(guān)無(wú)狀態(tài)方式獲取IPv6地址

NDRDNSS指通過(guò)ND的RA報(bào)文通告IPv6DNSServer對(duì)應(yīng)IPv6地址

終端IPv6支持度來(lái)源于全球IPv6測(cè)試中心《2019IPv6支持度報(bào)告》

在交換芯片中，IPv6主機(jī)路由表項(xiàng)占用資源是IPv4主機(jī)路由表項(xiàng)占用資源的2倍或4倍（取決于交換

芯片），為了減少I(mǎi)Pv6臨時(shí)地址數(shù)量，建議網(wǎng)絡(luò)IPv6地址分配方式：

有線業(yè)務(wù)，推薦PC采用DHCPv6申請(qǐng)地址

無(wú)線業(yè)務(wù)，推薦采用網(wǎng)關(guān)無(wú)狀態(tài)地址分配方式：Android手機(jī)不支持DHCPv6

85G和教育城域網(wǎng)的融合

8.15G推出關(guān)鍵技術(shù)

2019年6月，世界移動(dòng)大會(huì)在上海召開(kāi)。大會(huì)舉行了“5G賦能教育·智慧點(diǎn)亮未來(lái)”分論壇，發(fā)布了《5G+

智慧校園白皮書(shū)》，標(biāo)志著5G技術(shù)在教育領(lǐng)域應(yīng)用的開(kāi)啟?！?G+智慧校園白皮書(shū)》對(duì)5G的關(guān)鍵技術(shù)進(jìn)

行了闡釋，主要包括：①虛擬局域網(wǎng)（VirtualLocalAreaNetwork，VLAN），是指通過(guò)使用通用性硬件

和虛擬化技術(shù)，取代通信網(wǎng)絡(luò)中私有、專用、封閉的網(wǎng)元，搭建“統(tǒng)一通用硬件平臺(tái)+業(yè)務(wù)邏輯軟件”的

開(kāi)放架構(gòu)，加快網(wǎng)絡(luò)部署和調(diào)整的速度，降低業(yè)務(wù)部署的復(fù)雜度。5G的VLAN技術(shù)可實(shí)現(xiàn)終端與企業(yè)網(wǎng)同

處于一個(gè)局域網(wǎng)內(nèi)，支持企業(yè)用戶對(duì)終端的靈活管理。②網(wǎng)絡(luò)切片，是指將物理網(wǎng)絡(luò)劃分為多個(gè)虛擬網(wǎng)

絡(luò)，每一個(gè)虛擬網(wǎng)絡(luò)可以滿足不同的服務(wù)需求；同時(shí)，為不同垂直行業(yè)、不同客戶、不同業(yè)務(wù)提供相互

隔離。③可定制網(wǎng)絡(luò)，是指結(jié)合行業(yè)需求，規(guī)劃面向場(chǎng)景的5G網(wǎng)絡(luò)切片樣板，賦能垂直行業(yè)，提供可定

制網(wǎng)絡(luò)，滿足不同用戶需求。④移動(dòng)邊緣計(jì)算（MobileEdgeComputing，MEC），是指在靠近數(shù)據(jù)源或用

戶的地方提供計(jì)算、存儲(chǔ)等基礎(chǔ)功能，并為邊緣應(yīng)用提供IT環(huán)境服務(wù)和云服務(wù)。相較于集中部署的云計(jì)

算服務(wù)，MEC解決了時(shí)延過(guò)長(zhǎng)、匯聚流量過(guò)大等問(wèn)題，可為實(shí)時(shí)性和帶寬密集型業(yè)務(wù)提供更好的支持。

此外，MEC在網(wǎng)絡(luò)邊緣運(yùn)行，邏輯上并不依賴于網(wǎng)絡(luò)的其它部分，故能為敏感型業(yè)務(wù)提供通信安全保障。

⑤毫米波傳輸，是指波長(zhǎng)在1～10毫米之間的電磁波通訊傳輸。5G數(shù)據(jù)傳輸使用24.25～52.6GHz頻段，

利用毫米波傳輸大帶寬的特性，使數(shù)據(jù)速率高達(dá)10Gbps甚至更多。

8.2區(qū)域教育城域網(wǎng)的“云化”

隨著各校對(duì)教育網(wǎng)絡(luò)應(yīng)用和資源需求的不斷增長(zhǎng)，區(qū)域教育城域網(wǎng)對(duì)網(wǎng)絡(luò)質(zhì)量也提出了更高的要

求，勢(shì)必造成存儲(chǔ)和服務(wù)器等硬件設(shè)備的快速發(fā)展，區(qū)域教育城域網(wǎng)“云化”勢(shì)在必行?！霸苹睂⒃袑?duì)

互聯(lián)網(wǎng)帶寬和網(wǎng)絡(luò)硬件的需求逐漸轉(zhuǎn)化為對(duì)教育應(yīng)用和資源的需求，強(qiáng)調(diào)視頻類遠(yuǎn)程教育、視頻會(huì)議、

網(wǎng)絡(luò)電視臺(tái)的低延時(shí)、高帶寬和廣接入。不同學(xué)校之間除了用高帶寬光纖互聯(lián)以保證有線網(wǎng)絡(luò)的高速接

入，還可通過(guò)5G無(wú)線網(wǎng)絡(luò)的快速部署，突破傳統(tǒng)有線網(wǎng)絡(luò)和中心機(jī)房對(duì)地點(diǎn)、用戶人數(shù)的限制，從而隨

時(shí)隨地享受更快捷、更穩(wěn)定的智慧教育體驗(yàn)。

8.35G融入?yún)^(qū)域教育城域網(wǎng)的建設(shè)方向

5G網(wǎng)絡(luò)環(huán)境因其大帶寬、低延時(shí)、較強(qiáng)的邊緣計(jì)算和管控能力等優(yōu)勢(shì)，將成為未來(lái)智慧教育環(huán)境的

基礎(chǔ)，并將成為區(qū)域教育城域網(wǎng)建設(shè)的重要發(fā)展方向。結(jié)合傳統(tǒng)的2G/3G/4G、寬帶、Wifi等網(wǎng)絡(luò)，未來(lái)

的區(qū)域教育城域網(wǎng)將從目前“以語(yǔ)音和數(shù)據(jù)為核心”轉(zhuǎn)為“以內(nèi)容和流量為核心”?；诖?，5G融入?yún)^(qū)域教

育城域網(wǎng)的建設(shè)方向?yàn)椋孩俸诵木W(wǎng)從扁平的集中化架構(gòu)調(diào)整為“中心+邊緣”的分布式架構(gòu)，傳統(tǒng)機(jī)房被

重構(gòu)為云數(shù)據(jù)中心，新建或改造邊緣基礎(chǔ)設(shè)施，以滿足新設(shè)備形態(tài)所需的空間、電源、散熱、網(wǎng)絡(luò)配套

等需求。②傳統(tǒng)網(wǎng)元與虛擬化網(wǎng)元長(zhǎng)期共存，多制式混合組網(wǎng)，傳統(tǒng)網(wǎng)元容量逐步向虛擬化網(wǎng)絡(luò)遷移；

部署面向服務(wù)的虛擬化網(wǎng)絡(luò)功能，按需生成網(wǎng)絡(luò)切片，以滿足不同用戶在不同場(chǎng)景的業(yè)務(wù)需求。綜上所

述，5G融入?yún)^(qū)域教育城域網(wǎng)是以網(wǎng)絡(luò)功能虛擬化（NetworkFunctionVirtualization，NFV）、軟件定義

網(wǎng)絡(luò)（SoftwareDefinedNetworking，SDN）技術(shù)為基礎(chǔ)，實(shí)現(xiàn)資源可全局調(diào)度、業(yè)務(wù)可快速部署、能力

可全面開(kāi)放、容量可彈性伸縮、架構(gòu)可靈活調(diào)整的新一代網(wǎng)絡(luò)。

8.45G融入?yún)^(qū)域教育城域網(wǎng)的相關(guān)設(shè)計(jì)

5G融入?yún)^(qū)域教育城域網(wǎng)的特色功能①?gòu)椥杂?jì)算：提供彈性云主機(jī)、專用物理機(jī)和分布式計(jì)算云，以

滿足用戶虛擬機(jī)、物理服務(wù)器承載業(yè)務(wù)與分布式計(jì)算的各類需求；支持云主機(jī)規(guī)格變更和彈性伸縮，可

實(shí)現(xiàn)計(jì)算資源的垂直和水平變化。②彈性存儲(chǔ)：包括集中存儲(chǔ)和分布式存儲(chǔ)兩類產(chǎn)品，可滿足用戶不同

數(shù)據(jù)種類、不同數(shù)據(jù)讀取要求、不同數(shù)據(jù)存儲(chǔ)時(shí)限的數(shù)據(jù)存儲(chǔ)場(chǎng)景。③網(wǎng)絡(luò)與分發(fā)：包括虛擬私有云

（VirtualPrivateCloud，VPC）、彈性負(fù)載均衡、云專線接入和內(nèi)容分發(fā)網(wǎng)絡(luò)（ContentDeliveryNetwork，

CDN），服務(wù)于安全保障、能力提升和質(zhì)量保證。④彈性負(fù)載均衡：自動(dòng)將訪問(wèn)流量分發(fā)到多臺(tái)彈性云

主機(jī)，擴(kuò)展應(yīng)用系統(tǒng)對(duì)外的服務(wù)能力，實(shí)現(xiàn)更高水平的應(yīng)用程序容錯(cuò)性能。

5G融入?yún)^(qū)域教育城域網(wǎng)的云服務(wù)模式5G融入?yún)^(qū)域教育城域網(wǎng)具有虛擬化和云化的特點(diǎn)，可以滿足區(qū)

域內(nèi)行政管理、師生教育教學(xué)的需求，其云服務(wù)模式如圖所示。

5G融入?yún)^(qū)域教育城域網(wǎng)的云服務(wù)模式

（1）基礎(chǔ)設(shè)施即服務(wù)（InfrastructureasaService，IaaS）層

IaaS層提供支持云服務(wù)所需的軟、硬件資源，包括計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)、安全等基礎(chǔ)資源，具有彈性

可擴(kuò)展能力，能利用云平臺(tái)提供數(shù)據(jù)分布式存儲(chǔ)、數(shù)據(jù)高速并行處理、資源池管理與動(dòng)態(tài)調(diào)度、虛擬機(jī)

建立與多租戶管理、數(shù)據(jù)安全加密、大用戶量并發(fā)訪問(wèn)、負(fù)載均衡與失敗轉(zhuǎn)移、容災(zāi)和容錯(cuò)等功能。

（2）平臺(tái)即服務(wù)（PlatformasaService，PaaS）層基于IaaS層的相關(guān)功能，PaaS層提供應(yīng)用服務(wù)

云平臺(tái)，為上層應(yīng)用提供在線服務(wù)接口和相關(guān)服務(wù)，主要包括：①用戶身份和授權(quán)服務(wù)，負(fù)責(zé)對(duì)整個(gè)平

臺(tái)的各類用戶進(jìn)行身份驗(yàn)證與權(quán)限分配；②移動(dòng)訪問(wèn)接口服務(wù)，負(fù)責(zé)提供各個(gè)應(yīng)用系統(tǒng)數(shù)據(jù)的移動(dòng)訪問(wèn)

接口，對(duì)各數(shù)據(jù)進(jìn)行加工并實(shí)現(xiàn)在移動(dòng)設(shè)備上訪問(wèn)；③開(kāi)放訪問(wèn)接口，提供平臺(tái)向第三方開(kāi)放的基礎(chǔ)數(shù)

據(jù)，如用戶信息、登錄論證、消息訪問(wèn)接口等；④分布式計(jì)算與部署服務(wù)，為各系統(tǒng)橫向擴(kuò)展提供計(jì)算

能力增長(zhǎng)的支撐，實(shí)現(xiàn)系統(tǒng)的統(tǒng)一部署與容災(zāi)容錯(cuò)管理。

（3）軟件即服務(wù)（SoftwareasaService，SaaS）層SaaS層提供區(qū)域教育行政管理應(yīng)用、資源共建

共享、教師研修、網(wǎng)絡(luò)教學(xué)管理、家?；?dòng)、終身學(xué)習(xí)、輿情信息監(jiān)控、郵箱等服務(wù)，同時(shí)提供云終端

設(shè)備訪問(wèn)的所有信息服務(wù)。

8.55G融入?yún)^(qū)域教育的云服務(wù)平臺(tái)

考慮到未來(lái)教育云服務(wù)的建設(shè)任務(wù)重、安全壓力大、技術(shù)要求高，本研究基于5G融入?yún)^(qū)域教育城域

網(wǎng)的云服務(wù)模式，對(duì)區(qū)域教育的云服務(wù)平臺(tái)進(jìn)行了設(shè)計(jì)：各主要模塊采用購(gòu)買(mǎi)服務(wù)的方式進(jìn)行建設(shè)、管

理和運(yùn)維，其具體功能的設(shè)置可以根據(jù)區(qū)域教育城域網(wǎng)的實(shí)際情況進(jìn)行增刪，特別是基礎(chǔ)資源層、云運(yùn)

營(yíng)、云運(yùn)維和安全部分的相關(guān)功能可以靈活調(diào)整。區(qū)域教育云服務(wù)平臺(tái)的功能拓?fù)鋱D如圖所示，主要包

括數(shù)據(jù)中心安全、云服務(wù)、基礎(chǔ)資源層、業(yè)務(wù)連續(xù)性和數(shù)據(jù)中心管理等功能模塊，是硬件系統(tǒng)的云運(yùn)營(yíng)

和云運(yùn)維框架。

區(qū)域教育云服務(wù)平臺(tái)的功能拓?fù)鋱D

8.65G區(qū)域教育城域?qū)＞W(wǎng)的構(gòu)建

隨著5G時(shí)代的來(lái)臨，沉浸式教育走進(jìn)真實(shí)的課堂，并且更多的教育資源將被傳送到貧困地區(qū)和偏遠(yuǎn)

地區(qū)。相較于4G移動(dòng)網(wǎng)絡(luò)，5G通過(guò)網(wǎng)絡(luò)切片技術(shù)和邊緣計(jì)算技術(shù)可以更好地滿足行業(yè)用戶的應(yīng)用需求。

而在教育領(lǐng)域中應(yīng)用網(wǎng)絡(luò)切片技術(shù)和邊緣計(jì)算技術(shù)，可以實(shí)現(xiàn)區(qū)域教育城域?qū)＞W(wǎng)的搭建?；诖?，本研

究設(shè)計(jì)了基于網(wǎng)絡(luò)切片技術(shù)和邊緣計(jì)算技術(shù)的5G區(qū)域教育城域?qū)＞W(wǎng)架構(gòu)，如圖所示。

基于網(wǎng)絡(luò)切片技術(shù)和邊緣計(jì)算技術(shù)的5G區(qū)域教育城域?qū)＞W(wǎng)架構(gòu)

在5G區(qū)域教育城域?qū)＞W(wǎng)中，網(wǎng)絡(luò)切片技術(shù)構(gòu)建了多個(gè)專用的、虛擬的、隔離的、按需定制的邏輯網(wǎng)

絡(luò)，來(lái)滿足業(yè)務(wù)對(duì)網(wǎng)絡(luò)的不同要求（如時(shí)延、帶寬、連接數(shù)等），并通過(guò)全連接使5G、4G、窄帶物聯(lián)網(wǎng)

（NarrowBandInternetofThings，NB-IoT）、專線網(wǎng)絡(luò)的數(shù)據(jù)共享，避免造成不同網(wǎng)絡(luò)之間的數(shù)據(jù)孤島；

同時(shí)，對(duì)教師、學(xué)生、家長(zhǎng)等用戶的隱私數(shù)據(jù)進(jìn)行本地化傳輸與存儲(chǔ)，以保障用戶的數(shù)據(jù)安全。5G切片

基于獨(dú)立組網(wǎng)（StandAlone，SA）實(shí)現(xiàn)，具有以下特征：①基于不同的業(yè)務(wù)提供不同專網(wǎng)，在調(diào)度不同

業(yè)務(wù)時(shí)，先保障高優(yōu)先級(jí)業(yè)務(wù)；②提供業(yè)務(wù)安全，保障學(xué)校的隱私數(shù)據(jù)安全；③基于業(yè)務(wù)對(duì)專網(wǎng)帶寬、

時(shí)延等網(wǎng)絡(luò)要求，按需調(diào)整學(xué)校間（如附屬學(xué)校、分校）專網(wǎng)，共享4K/8K效果的AR、VR等業(yè)務(wù)。

此外，在5G區(qū)域教育城域?qū)＞W(wǎng)的傳輸網(wǎng)架構(gòu)中引入邊緣計(jì)算技術(shù)，并在靠近接入側(cè)的邊緣機(jī)房部署

網(wǎng)關(guān)、服務(wù)器等設(shè)備，可以增強(qiáng)計(jì)算能力，破解帶寬和時(shí)延抖動(dòng)等性能瓶頸，滿足不同應(yīng)用帶來(lái)的多樣

化網(wǎng)絡(luò)需求，從而降低時(shí)延、減少回傳壓力、提升用戶體驗(yàn)。

總的來(lái)說(shuō)，5G區(qū)域教育城域?qū)＞W(wǎng)的建設(shè)，可實(shí)現(xiàn)人臉識(shí)別、云桌面、云管理平臺(tái)、教學(xué)平臺(tái)、資源

平臺(tái)、服務(wù)平臺(tái)、家校溝通平臺(tái)、社會(huì)實(shí)踐服務(wù)平臺(tái)等智慧應(yīng)用在云端的部署，并利用5G網(wǎng)絡(luò)的高帶寬、

低時(shí)延等優(yōu)勢(shì)，為用戶提供更強(qiáng)大的功能和更優(yōu)質(zhì)的體驗(yàn)。

8.75G融入?yún)^(qū)域教育城域網(wǎng)的價(jià)值

8.7.1重構(gòu)智慧校園建設(shè)

目前，盡管以云計(jì)算為核心的集中式數(shù)據(jù)處理模式能夠滿足云端的計(jì)算和存儲(chǔ)能力，但面對(duì)高質(zhì)體

驗(yàn)需求的新業(yè)務(wù)時(shí)仍然存在諸多不足，主要表現(xiàn)為：①所有的業(yè)務(wù)流均通過(guò)云計(jì)算中心進(jìn)行處理，時(shí)延

和擁塞的問(wèn)題將嚴(yán)重影響業(yè)務(wù)體驗(yàn)，無(wú)法滿足用戶對(duì)超低時(shí)延的要求；②隨著接入終端數(shù)的迅速增加，

海量數(shù)據(jù)回傳會(huì)給運(yùn)營(yíng)商接入網(wǎng)和核心網(wǎng)帶來(lái)巨大壓力，進(jìn)而降低網(wǎng)絡(luò)的運(yùn)行效率。5G技術(shù)融入?yún)^(qū)域教

育城域網(wǎng)，要求重構(gòu)區(qū)域教育城域網(wǎng)建設(shè)的技術(shù)標(biāo)準(zhǔn)和應(yīng)用標(biāo)準(zhǔn)，隨之而來(lái)的是區(qū)域內(nèi)的智慧校園建設(shè)

也需要重構(gòu)?；诖耍狙芯吭O(shè)計(jì)了重構(gòu)后基于5G的智慧校園建設(shè)拓?fù)鋱D，如圖所示。

重構(gòu)后基于5G的智慧校園建設(shè)拓?fù)鋱D

重構(gòu)后基于5G的智慧校園建設(shè)的主要內(nèi)容有：①針對(duì)云AR/VR教學(xué)、全息課堂、云端智能管理等新

業(yè)務(wù)對(duì)網(wǎng)絡(luò)提出的超低時(shí)延、超大帶寬、實(shí)時(shí)計(jì)算等需求，利用5G技術(shù)提供海量的終端管理、高可靠低

時(shí)延組網(wǎng)、分級(jí)質(zhì)量保證、數(shù)據(jù)實(shí)時(shí)計(jì)算和緩存加速、應(yīng)用容器服務(wù)等基礎(chǔ)功能，并通過(guò)多級(jí)邊緣計(jì)算

系統(tǒng)，為智慧校園提供實(shí)時(shí)、可靠、智能和泛在的端到端服務(wù)。②針對(duì)多種教育場(chǎng)景提供多級(jí)邊緣計(jì)算

的解決方案，將邊緣計(jì)算節(jié)點(diǎn)部署于基站側(cè)、基站匯聚側(cè)或核心網(wǎng)邊緣側(cè)，為智慧校園提供多種智能化

的網(wǎng)絡(luò)接入和高帶寬、低時(shí)延的網(wǎng)絡(luò)承載，并基于開(kāi)放可靠的連接、計(jì)算與存儲(chǔ)資源，支持多生態(tài)業(yè)務(wù)

在接入邊緣側(cè)的靈活承載。

8.7.2推動(dòng)課堂教學(xué)變革

5G融入?yún)^(qū)域教育城域網(wǎng)，推動(dòng)著課堂教學(xué)發(fā)生了較大變革：①工具與技術(shù)變革主要表現(xiàn)為電化教育、

PPT課件、網(wǎng)絡(luò)空間人人通等；②教學(xué)模式變革主要表現(xiàn)為慕課、專遞課堂、名師課堂、名校網(wǎng)絡(luò)課堂

等，并且?guī)熒P(guān)系也不再固定，在網(wǎng)絡(luò)課堂上每個(gè)人的角色可以不斷變化；③教學(xué)目標(biāo)變革主要表現(xiàn)為

學(xué)習(xí)可以隨時(shí)、隨地進(jìn)行，教學(xué)內(nèi)容也不再限于專業(yè)知識(shí)，使終身學(xué)習(xí)和“21世紀(jì)核心素養(yǎng)”[4]的培養(yǎng)

皆成為可能。

8.7.3促進(jìn)學(xué)習(xí)方式變革

5G融入?yún)^(qū)域教育城域網(wǎng)，也促進(jìn)學(xué)習(xí)方式發(fā)生了重要變革，即由傳統(tǒng)的面對(duì)面單向講授模式，發(fā)展

為多終端、多地點(diǎn)、雙向、線上線下相結(jié)合的混合式模式。而利用AR、VR等多技術(shù)輔助下的多教學(xué)場(chǎng)景，

學(xué)習(xí)將更加真實(shí)立體、互動(dòng)將更加多元，黑板不再是唯一的展示工具，學(xué)生可通過(guò)Pad等終端接入?yún)^(qū)域

教育城域網(wǎng)開(kāi)展在線學(xué)習(xí)、討論互動(dòng)與展示評(píng)價(jià)?？偟膩?lái)說(shuō)，充分利用5G技術(shù)背景下教育資源獲取的便

利性、即時(shí)性、共享性等優(yōu)勢(shì)，變革課堂教學(xué)和學(xué)習(xí)方式，打通學(xué)校與學(xué)校、學(xué)校與社會(huì)教育機(jī)構(gòu)、學(xué)

校與家庭之間的壁壘，并以學(xué)生為中心開(kāi)展5G融入?yún)^(qū)域教育城域網(wǎng)的建設(shè)與應(yīng)用，對(duì)于推動(dòng)教育的優(yōu)質(zhì)

均衡發(fā)展有重要作用。在教學(xué)方式和學(xué)習(xí)方式發(fā)生變革的背景下，利用5G、大數(shù)據(jù)、人工智能等現(xiàn)代技

術(shù)，一套新的教育生態(tài)系統(tǒng)、一種面向未來(lái)的教育模式就完全可以成為現(xiàn)實(shí)。

9智能運(yùn)維

9.1網(wǎng)絡(luò)運(yùn)維

SDN分析組件通過(guò)對(duì)設(shè)備運(yùn)行狀態(tài)、用戶接入及在線狀態(tài)、業(yè)務(wù)流量的實(shí)時(shí)數(shù)據(jù)采集和狀態(tài)感知，

并通過(guò)大數(shù)據(jù)分析技術(shù)和AI算法，將網(wǎng)絡(luò)的運(yùn)行可視化，主動(dòng)感知網(wǎng)絡(luò)的潛在風(fēng)險(xiǎn)并自動(dòng)預(yù)警。

SDN分析組件圍繞如下幾點(diǎn)構(gòu)建：

多維可視：

網(wǎng)絡(luò)360度可視：包括網(wǎng)絡(luò)拓?fù)?、設(shè)備運(yùn)行狀態(tài)（CPU、內(nèi)存占用率等）、鏈路狀態(tài)等信

息的可視

用戶360度可視：包括用戶接入網(wǎng)絡(luò)過(guò)程的健康度數(shù)據(jù)、行為狀態(tài)數(shù)據(jù)，以及用戶網(wǎng)絡(luò)

使用量數(shù)據(jù)及趨勢(shì)數(shù)據(jù)等的可視

應(yīng)用360度可視：包括TopN應(yīng)用流量、應(yīng)用流的轉(zhuǎn)發(fā)路徑、應(yīng)用流的實(shí)時(shí)大小、應(yīng)用

質(zhì)量（延時(shí)、抖動(dòng)、丟包等）、應(yīng)用健康度等信息的可視

動(dòng)態(tài)基線、智能預(yù)測(cè)：

SDN分析組件自動(dòng)對(duì)采集上來(lái)的海量數(shù)據(jù)進(jìn)行大數(shù)據(jù)分析，并結(jié)合AI算法，計(jì)算設(shè)備運(yùn)

行狀態(tài)基線、用戶在線狀態(tài)基線、應(yīng)用流基線及預(yù)測(cè)值；

將實(shí)測(cè)值與基線數(shù)據(jù)進(jìn)行比較，判斷實(shí)測(cè)值是否異常；

對(duì)數(shù)據(jù)進(jìn)行多維度相關(guān)性分析，明確異常直接因素。

9.2技術(shù)實(shí)現(xiàn)

9.2.1整體架構(gòu)

為了解決融合園區(qū)、數(shù)據(jù)中心、WAN網(wǎng)絡(luò)場(chǎng)景的業(yè)務(wù)部署，網(wǎng)絡(luò)保障功能，引入了SDN控制組件和

分析組件。下面是SDN整體架構(gòu)：

SDN分析組件基于DataEngine大數(shù)據(jù)平臺(tái)構(gòu)建，通過(guò)gRPC、ERSPAN、INT等Telemetry技術(shù)接收

來(lái)自網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)上報(bào)，運(yùn)用智能算法對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分析、呈現(xiàn)。SDN分析組件系統(tǒng)架構(gòu)見(jiàn)下圖：

SDN分析系統(tǒng)整體架構(gòu)分為四部分：數(shù)據(jù)采集、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)分析、數(shù)據(jù)呈現(xiàn)：

數(shù)據(jù)采集：

SDN分析采集器負(fù)責(zé)收集網(wǎng)絡(luò)的場(chǎng)景數(shù)據(jù)和運(yùn)行數(shù)據(jù)。場(chǎng)景數(shù)據(jù)可來(lái)自于控制組件和北

向API接口，包括物理網(wǎng)絡(luò)中各個(gè)設(shè)備的類型、角色、連接關(guān)系，以及邏輯網(wǎng)絡(luò)中的

各個(gè)邏輯元素，如虛擬網(wǎng)絡(luò)、子網(wǎng)等內(nèi)容。運(yùn)行數(shù)據(jù)來(lái)自于物理網(wǎng)絡(luò)中的各個(gè)網(wǎng)絡(luò)設(shè)

備，網(wǎng)絡(luò)設(shè)備通過(guò)Telemetry方式上報(bào)的數(shù)據(jù)：包括采用ERSPAN/INT技術(shù)采集的網(wǎng)絡(luò)

設(shè)備的流量數(shù)據(jù)、基于gRPC協(xié)議上報(bào)的性能Metrics數(shù)據(jù)、基于SNMP/NETCONF協(xié)議

上報(bào)的設(shè)備的運(yùn)行狀態(tài)數(shù)據(jù)等。

采集器收集的所有數(shù)據(jù)都具有時(shí)間屬性，代表了某一時(shí)刻網(wǎng)絡(luò)的運(yùn)行狀態(tài)。對(duì)于ERSPAN

采集的流量數(shù)據(jù)報(bào)文，采集器將收到的報(bào)文打上時(shí)間戳，INT數(shù)據(jù)報(bào)文內(nèi)部已經(jīng)攜帶

時(shí)間戳。之后將采集報(bào)文打包發(fā)送給分析組件進(jìn)行分析。

SDN分析采集器通過(guò)分布式部署架構(gòu)，實(shí)現(xiàn)數(shù)據(jù)采集層的按需擴(kuò)容，來(lái)滿足海量數(shù)據(jù)的

采集需求。

數(shù)據(jù)存儲(chǔ)：

采集的數(shù)據(jù)根據(jù)業(yè)務(wù)需要，分類分級(jí)進(jìn)行存儲(chǔ)。存儲(chǔ)要包括原始數(shù)據(jù)庫(kù)、基礎(chǔ)數(shù)據(jù)庫(kù)、

業(yè)務(wù)主題庫(kù)、應(yīng)用庫(kù)。不同數(shù)據(jù)的保存周期需要可管理。并且，因應(yīng)用場(chǎng)景的差異，SDN

分析組件支持大小數(shù)據(jù)模式。

SDN分析組件采用DataEngine大數(shù)據(jù)平臺(tái)完成海量數(shù)據(jù)的分布式存儲(chǔ)。

數(shù)據(jù)分析：-

SDN分析組件能夠?qū)W(wǎng)絡(luò)進(jìn)行完整的透視，理解整個(gè)網(wǎng)絡(luò)物理拓?fù)浜蜆I(yè)務(wù)運(yùn)行狀態(tài)。對(duì)

采集的數(shù)據(jù)從業(yè)務(wù)需求角度進(jìn)行計(jì)算，包括實(shí)時(shí)計(jì)算和離線計(jì)算。

SDN分析組件采用Spark、Flink等分布式計(jì)算引擎完成數(shù)據(jù)在線、離線分析任務(wù)，來(lái)滿

足分析任務(wù)的計(jì)算能力需求。

數(shù)據(jù)呈現(xiàn)：

設(shè)備360度健康度及網(wǎng)絡(luò)健康度概覽

用戶終端360度健康度及用戶健康度概覽

應(yīng)用360度健康度及應(yīng)用健康度概覽

網(wǎng)絡(luò)、用戶、應(yīng)用問(wèn)題聚類及分布

9.2.2ERSPAN流分析技術(shù)

ERSPAN（EncapsulatedRemoteSwitchPortAnalyzer）封裝遠(yuǎn)程端口鏡像，其功能是將鏡像報(bào)文封裝

為協(xié)議號(hào)是0x88BE的GRE報(bào)文，通過(guò)三層網(wǎng)絡(luò)路由轉(zhuǎn)發(fā)到遠(yuǎn)端監(jiān)控設(shè)備。

9.2.3DHCP交互報(bào)文

用戶終端上線過(guò)程中，DHCPServer向終端分配IP是重要一環(huán)，分析DHCPServer回應(yīng)報(bào)文將有助

于終端IP地址申請(qǐng)失敗問(wèn)題定位。通過(guò)ERSPAN將Spine與DHCPServer之間交互DHCP報(bào)文送到

SeerAnalyzer分析組件，以避免SeerAnalyzer與各廠商DHCPServer對(duì)接。

DHCP交互報(bào)文

9.2.4Telemetry技術(shù)

Telemetry是一項(xiàng)監(jiān)控設(shè)備性能和故障的遠(yuǎn)程高速數(shù)據(jù)采集技術(shù)。Telemetry技術(shù)采用gRPC協(xié)議，

通過(guò)推模式（PushMode）主動(dòng)把設(shè)備數(shù)據(jù)信息上送給采集器，從而實(shí)現(xiàn)比傳統(tǒng)SNMP查詢方式更實(shí)時(shí)、

更高效的數(shù)據(jù)采集性能。

gRPC協(xié)議

gRPC（GoogleRemoteProcedureCall，Google遠(yuǎn)程過(guò)程調(diào)用）是Google發(fā)布的基于HTTP2.0

傳輸層協(xié)議承載的高性能開(kāi)源軟件框架，提供了支持多種編程語(yǔ)言的、對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行配

置和管理的方法。通信雙方可以基于該軟件框架進(jìn)行二次開(kāi)發(fā)，從而使得雙方可以聚焦于

業(yè)務(wù)，無(wú)需關(guān)注gRPC軟件框架實(shí)現(xiàn)的底層通信。

gRPC協(xié)議棧分層如下表所示：

分層說(shuō)明

業(yè)務(wù)模塊的數(shù)據(jù)

內(nèi)容層

通信雙方需要了解彼此的數(shù)據(jù)模型，才能正確交互信息

ProtocolBuffers編碼層gRPC通過(guò)ProtocolBuffers編碼格式承載數(shù)據(jù)

gRPC層遠(yuǎn)程過(guò)程調(diào)用，定義了遠(yuǎn)程過(guò)程調(diào)用的協(xié)議交互格式

HTTP2.0層gRPC承載在HTTP2.0協(xié)議上

TCP層TCP連接提供面向連接的、可靠的、順序的數(shù)據(jù)鏈路

根據(jù)設(shè)備和網(wǎng)管的數(shù)據(jù)傳輸方式的不同，gRPC網(wǎng)絡(luò)架構(gòu)分為Dial-in和Dial-out：

Dial-in模式的設(shè)備作為gRPC服務(wù)器，采集器作為gRPC客戶端。由采集器主動(dòng)向設(shè)備

發(fā)起gRPC連接并訂閱需要采集的數(shù)據(jù)信息，Dial-in