TISC 0039-2024 教育城域網(wǎng)網(wǎng)絡技術要求

ICS35.240.01CCSL70Educationalmetropolitanareanetworktechnicalrequirem（發(fā)布稿）IT/ISC0039-2024前言 2規(guī)范性引用文件 3術語和定義 4縮略語 5教育城域網(wǎng)網(wǎng)絡技術要求 25.1網(wǎng)絡總體要求 25.2網(wǎng)絡架構要求 25.3組網(wǎng)技術要求 35.3.1網(wǎng)絡交換技術 35.3.2網(wǎng)絡路由技術 35.3.3網(wǎng)絡協(xié)議要求 35.3.4網(wǎng)絡服務要求 35.3.5無線網(wǎng)絡要求 45.3.6網(wǎng)絡設備要求 45.3.7軟件定義網(wǎng)絡 55.4網(wǎng)絡建設要求 55.4.1網(wǎng)絡穩(wěn)定性要求 55.4.2網(wǎng)絡可靠性要求 55.4.3網(wǎng)絡安全性要求 55.5網(wǎng)絡安全要求 65.6機房建設要求 6T/ISC0039-2024本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定起草。本文件由蘇州市電化教育館提出。本文件由中國互聯(lián)網(wǎng)協(xié)會歸口。本文件起草單位：新華三技術有限公司、中國移動通信集團江蘇有限公司蘇州分公司、中國電信股份有限公司蘇州分公司、中國聯(lián)合網(wǎng)絡通信有限公司蘇州市分公司本文件主要起草人：徐柯然皇甫繹達1T/ISC0039-2024教育城域網(wǎng)網(wǎng)絡技術要求本文件規(guī)定了教育城域網(wǎng)的網(wǎng)絡架構、組網(wǎng)技術等的具體實施指導技術要求。本文件適用于新建、改擴建的教育城域網(wǎng)的規(guī)劃、設計與實施。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T21050信息安全技術網(wǎng)絡交換機安全技術要求GB/T22239信息安全技術網(wǎng)絡安全等級保護基本要求GB/T25058信息安全技術信息系統(tǒng)安全等級保護實施指南GB/T28448信息安全技術網(wǎng)絡安全等級保護測評要求GB50174數(shù)據(jù)中心設計規(guī)范3術語和定義下列術語和定義適用于本文件。3.1教育城域網(wǎng)educationmetropolitanareanetwork教育城域網(wǎng)是把同一地區(qū)或同一城市內(nèi)所有學校、研究機構、相關教育機構通過網(wǎng)絡互聯(lián)，整合教育資源，實現(xiàn)開放、共享的信息化寬帶網(wǎng)絡。3.2OpenFlow一種網(wǎng)絡通信協(xié)議，屬于數(shù)據(jù)鏈路層，能夠控制網(wǎng)上交換器或路由器的轉(zhuǎn)發(fā)平面（forwardingplane借此改變網(wǎng)絡數(shù)據(jù)包所走的網(wǎng)絡路徑。3.3Netconf全新的基于可擴展標記語言的網(wǎng)絡配置協(xié)議。4縮略語下列縮略語適用于本文件。SDN：軟件定義網(wǎng)絡（SoftwareDefinedNetwork）無線網(wǎng)絡接入點I：應用程序接口（無線網(wǎng)絡接入點plicationProgrammingInterface）VXLAN：虛擬擴展局域網(wǎng)（VirtualExtensibleLocalAreaNetwork）VLAN：虛擬局域網(wǎng)（VirtualLocalAreaNetwork）LLDP：鏈路層發(fā)現(xiàn)協(xié)議（LinkLayerDiscoveryProtocol）2MAC:媒體存取控制位址(MediaAcceIPv4:互聯(lián)網(wǎng)協(xié)議第4版(InternetProtocolversion4)IPv6:互聯(lián)網(wǎng)協(xié)議第6版(InternetProtocolversion6)教育信息網(wǎng)教育信息網(wǎng)i遠程日_計服施_50不圖1:教育城域網(wǎng)網(wǎng)絡架構3T/ISC0039-2024c)SDN控制器應通過直觀的圖形化界面完成自動化上線，接入管理，用戶組/策略管理。5.3組網(wǎng)技術要求5.3.1網(wǎng)絡交換技術網(wǎng)絡交換技術應符合以下技術要求：a)支持802.1Q；b)支持LLDP；c)支持靜態(tài)MAC、動態(tài)MAC、黑洞MAC配置；d)支持MAC地址學習數(shù)目限制；e)支持端口鏡像（SPAN/ERSPAN/RSPAN）和流鏡像功能；f)支持端口聚合；g)支持802.1d（STP）、802.1w（RSTP）、802.1s（MSTP）；h)支持動態(tài)鏈路聚合、靜態(tài)端口聚合和跨板鏈路聚合；i)支持MAC/IP子網(wǎng)/協(xié)議/策略/端口的VLAN。5.3.2網(wǎng)絡路由技術網(wǎng)絡路由技術應符合以下技術要求：a)支持靜態(tài)路由、RIP、OSPF、IS-IS、BGP4等；b)支持IPv4和IPv6雙協(xié)議棧；c)支持IPv6靜態(tài)路由、RIPng、OSPFv3、IS-ISv6、BGP4+；d)支持DHCPv6；e)支持VRRPv3；f)支持Pingv6、Telnetv6、FTPv6、TFTPv6、DNSv6、ICMPv6；g)支持IPv4向IPv6的過渡技術，支持IPv6。5.3.3網(wǎng)絡協(xié)議要求網(wǎng)絡協(xié)議應符合以下技術要求：a)支持VXLAN二層交換；b)支持VXLAN三層交換；c)支持VXLAN路由交換；d)支持VXLAN網(wǎng)關；e)支持VXLAN、BGPEVPN特性；f)支持建立IPv6VxLAN隧道，實現(xiàn)不同VxLAN間IPv4/IPv6報文互訪；g)支持微分段特性；h)支持OpenFlow+Netconf的VXLAN集中式控制平面i)支持分布式網(wǎng)關，支持VxLANFabric的自動化部署。5.3.4網(wǎng)絡服務要求網(wǎng)絡服務應符合以下功能要求：a)跨網(wǎng)傳輸服務1)跨網(wǎng)服務應該與不同平臺的網(wǎng)絡和系統(tǒng)兼容，以確保在各種環(huán)境下能夠正常工作；2)跨網(wǎng)服務應該保證網(wǎng)絡傳輸?shù)陌踩?，采取合適的技術手段來防止數(shù)據(jù)被截獲、篡改或破壞；3)跨網(wǎng)服務應該提供有效的管理工具和方法，方便管理員對服務進行監(jiān)控和管理；4)跨網(wǎng)服務需要保證用戶數(shù)據(jù)的保密性，不得泄露用戶的敏感信息。b)分支學校接入服務1)分支學校應該具有穩(wěn)定的網(wǎng)絡連接，保證與教育城域網(wǎng)的暢通連接；2)分支學校應該具備足夠的網(wǎng)絡帶寬，以支持在線教育、視頻會議等多種教育應用；4T/ISC0039-20243)分支學校應該能夠得到及時的技術支持和服務，以確保教育城域網(wǎng)的網(wǎng)絡服務能夠在分支學校正常運行和使用；4)教育城域網(wǎng)應該對分支學校網(wǎng)絡的接入和運行進行管理和監(jiān)控，及時發(fā)現(xiàn)并解決問題，確保網(wǎng)絡運行的正常和穩(wěn)定；c)基于互聯(lián)網(wǎng)的虛擬網(wǎng)絡服務1)虛擬網(wǎng)絡服務應該確保教育城域網(wǎng)的用戶能夠通過互聯(lián)網(wǎng)訪問到所提供的教育資源和服2)虛擬網(wǎng)絡服務應該提供用戶管理和權限控制功能，確保只有合法的用戶能夠訪問和使用相應的教育資源和服務；3)虛擬網(wǎng)絡服務應該具備故障恢復和備份機制，確保教育城域網(wǎng)在面對硬件或軟件故障時能夠快速恢復，并保障數(shù)據(jù)的完整性和可恢復性；4)虛擬網(wǎng)絡服務應該提供良好的用戶體驗，界面友好，操作簡便，以提升用戶滿意度和使用效果。d)基于用戶角色的網(wǎng)絡策略跟隨機制1)應該確保用戶可以在任何地方、任何時間、任何設備上方便地訪問和使用教育城域網(wǎng)中對應權限的教育資源和服務；2)應該具備彈性伸縮的能力，支持根據(jù)用戶訪問量調(diào)整網(wǎng)絡資源、應用服務器和存儲空間等，以優(yōu)化性能和節(jié)省成本；3)應該支持教育城域網(wǎng)的統(tǒng)一管理和監(jiān)控，以便管理員能夠?qū)崟r監(jiān)測網(wǎng)絡運行狀況、用戶行為和設備安全狀況。5.3.5無線網(wǎng)絡要求無線網(wǎng)絡應符合以下要求：1)支持IEEE802.11ac或802.11ax標準，并向下兼容；2)支持WPA3或WPA2加密技術標準；3)支持IPv4、IPv6雙棧技術標準；4)無線網(wǎng)絡應覆蓋教室、實驗室、圖書館、公共區(qū)域等各個場景；5)無線網(wǎng)絡應支持集中管理和監(jiān)控，包括實時監(jiān)測網(wǎng)絡狀態(tài)、流量統(tǒng)計、故障診斷和遠程管理等功能；6)無線網(wǎng)絡應支持多樣化的設備和終端，具備良好的兼容性。5.3.6網(wǎng)絡設備要求網(wǎng)絡設備應符合以下要求：a)核心交換機1)支持高速交換能力，支持高速的數(shù)據(jù)傳輸和大量用戶連接，支持千兆以太網(wǎng)和萬兆以太網(wǎng)等高速傳輸技術；2)支持大容量緩存技術，支持高吞吐量的數(shù)據(jù)傳輸和流量控制，減少數(shù)據(jù)丟失和網(wǎng)絡擁堵，提高網(wǎng)絡性能；3)支持透明網(wǎng)橋、VLAN、Trunk等多種網(wǎng)絡功能，支持IPv4和IPv6、動態(tài)路由協(xié)議等技術；4)支持雙機熱備、鏈路聚合、零丟包等技術，保證網(wǎng)絡的可用性和穩(wěn)定性。b)匯聚交換機1)支持高密度的端口數(shù)量，支持大量的用戶和設備連接，也能支持多臺交換機的級聯(lián)；2)支持具備高帶寬的傳輸能力，支持高速的數(shù)據(jù)交換和傳輸，保證中心節(jié)點和各個子網(wǎng)絡間的無縫連接，同時能夠應對網(wǎng)絡擁堵問題，降低網(wǎng)絡時延；3)支持IPv6和IPv4雙協(xié)議棧；4)支持多種網(wǎng)絡環(huán)節(jié)的互聯(lián)，如內(nèi)向子網(wǎng)、外向子網(wǎng)、骨干網(wǎng)絡，同時具備多種互聯(lián)方式，以適應不同場景的需求。c)接入交換機5T/ISC0039-20241)支持高密度的端口數(shù)量，能夠支持大量的用戶和設備連接，確保網(wǎng)絡的可擴展性和可容2)支持多種接入方式，包括有線接入、無線接入等，以滿足不同用戶的網(wǎng)絡接入需求；3)支持VLAN的劃分和管理，能夠給不同的用戶和設備分配不同的網(wǎng)絡資源和優(yōu)先級，實現(xiàn)帶寬的合理分配和利用；4)支持QoS技術，能夠?qū)Σ煌木W(wǎng)絡服務和應用嚴格控制，實現(xiàn)最優(yōu)的用戶體驗和服務質(zhì)量。5.3.7軟件定義網(wǎng)絡軟件定義網(wǎng)絡技術（SDN）是在傳統(tǒng)網(wǎng)絡架構的基礎上利用網(wǎng)絡控制軟件來實現(xiàn)。a)應滿足標準化和開放性，并允許不同網(wǎng)絡設備和應用之間通過統(tǒng)一的無線網(wǎng)絡接入點I進行交互；b)應支持各種數(shù)據(jù)管理和協(xié)議，以實現(xiàn)網(wǎng)絡的多樣化和應用的靈活性；c)應具備標準的控制器和管理平臺，實現(xiàn)網(wǎng)絡拓撲的發(fā)現(xiàn)、監(jiān)控和管控，以及流量和帶寬的管理和控制；d)應能對新應用和服務提供支持，以實現(xiàn)合理的資源利用和優(yōu)化的用戶體驗；e)應支持集中管理和監(jiān)控，實時監(jiān)測網(wǎng)絡狀態(tài)和流量，提高網(wǎng)絡運維效率；f)應具有穩(wěn)定和可靠性，支持自動備份和恢復機制，以確保網(wǎng)絡的高可用性。5.4網(wǎng)絡建設要求5.4.1網(wǎng)絡穩(wěn)定性要求在部署教育城域網(wǎng)的過程中，為確保網(wǎng)絡的穩(wěn)定性，應按照以下要求設計：a)針對網(wǎng)絡穩(wěn)定性的運行要求1)應采用高性能路由器，負責整個網(wǎng)絡的核心交換和路由功能；2)應支持負載均衡、高可用性、靈活的路由策略；3)應支持多種動態(tài)路由協(xié)議確保路由的穩(wěn)定性和彈性；4)應支持VLAN劃分、故障隔離等技術能力；5)應采用堆疊技術實現(xiàn)設備冗余，確保分布層的高可用性。b)針對網(wǎng)絡穩(wěn)定性的運營要求1)應部署防火墻、入侵防御、反病毒軟件等系統(tǒng)進行多層安全防護；2)應采用加密遠程接入認證技術確保遠程用戶的安全接入；3)應能夠?qū)崟r監(jiān)控網(wǎng)絡流量，合理分配帶寬，避免網(wǎng)絡擁塞；4)應能夠定期備份關鍵數(shù)據(jù)，使用數(shù)據(jù)備份技術確保網(wǎng)絡配置的可靠性；5)應部署網(wǎng)絡監(jiān)控系統(tǒng)，實施監(jiān)控網(wǎng)絡設備和流量。5.4.2網(wǎng)絡可靠性要求在部署教育城域網(wǎng)的過程中，為確保網(wǎng)絡的可靠性，應按照以下要求設計：a)針對網(wǎng)絡可靠性的運行要求1)應采用高容量、高吞吐、高可用性設計的核心網(wǎng)絡設備；2)應支持BGP協(xié)議進行核心路由設計，確保穩(wěn)定的網(wǎng)絡傳輸；3)應支持有線與無線認證技術和交換機端口安全功能；4)應確保只有授權用戶可以接入網(wǎng)絡，并使用服務器進行身份驗證。b)針對網(wǎng)絡可靠性的運營要求：1)應使用強密碼、多因素認證，實施基于角色的訪問控制；2)應使用多層安全系統(tǒng)進行數(shù)據(jù)包過濾，如防火墻、入侵防御、代碼審計等；3)應使用流量調(diào)整和限速技術，避免網(wǎng)絡擁塞；4)應部署網(wǎng)絡監(jiān)控系統(tǒng)，實時監(jiān)控網(wǎng)絡設備和流量。5.4.3網(wǎng)絡安全性要求6T/ISC0039-2024在部署教育城域網(wǎng)的過程中，為確保網(wǎng)絡的安全性，應按照以下要求設計：c)針對網(wǎng)絡安全性的運行要求1)應支持高性能、可靠的核心交換機和路由器核心網(wǎng)絡設備；2)應支持高可用性、冗余設計、快速故障恢復技術功能；3)應支持VLAN劃分、QoS管理和冗余設計；4)應采用防環(huán)路技術避免網(wǎng)絡環(huán)路問題；5)應采用鏈路聚合技術提高帶寬和冗余。d)針對網(wǎng)絡安全性