基础教育专网方案.ppt

1,中国电信陕西公司,基础教育专网方案技术实现方法说明,,用户至上 用心服务customer first service foremost,,用户至上 用心服务customer first service foremost,一、基础教育专网MPLS VPN的整体结构说明；二、基础教育专网的电信侧局数据配置要求；三、省、市教育平台的接入方案；四、学校几种接入方案的实施说明；五、l2tp VPN 拨号认证软件的设置方法：,中国电信陕西公司,,用户至上 用心服务customer first service foremost,一、基础教育专网MPLS VPN的整体构架如下：,,用户至上 用心服务customer first service foremost,二、基础教育专网MPLS VPN的电信侧局数据配置要求如下： 1、VRF以及相关参数：,,用户至上 用心服务customer first service foremost,2、各地市城域网ASBR与CN2的对接电路配置：（省平台直挂CN2 ）,,用户至上 用心服务customer first service foremost,3、教育专网用户流量评估和带宽设计：,1）第2条所列表格中的电路为城域网与CN2的对接电路，规划为陕西电信大客户跨域vpn组网的共有电路（通过VLAN区分不同的大客户），不是教育专网的专用通道。

教育专网VLAN101）2）用户流量模型设计：陕西教育专网组网中省教育厅平台直接接入 CN2 PE设备（CN2张家堡12416G2/1/0）；其余各地市用户（各级教育机构和中小学校）采用城域网接入，用户流量跨域通过CN2 传递到省平台，用户对带宽的需求主要是实时视频流业务（视频会议时）对带宽的需求3）用户流量的评估：为满足每个本地网至少100所中小学（学校陆续接入）每个小学278k/bps流量（峰值流量，只有教育厅召开教育系统视频会议的时候）即2M带宽的需求，目前需要每个本地网规划200M的带宽预留由于每个地市两条链路的承载，每条链路保障100M带宽的QOS；,教育专网组网带宽设计：1）8个地市的城域网到CN2的链路，由于采用了双条链路，所以每一条链路为教育厅专网保障100M带宽的QOS保障；（共计16条链路）2）教育厅信息平台直挂CN2 PE设备，已经占用了一个GE的端口，为减轻CN2的负担，可以不必保障1G的QOS；由于教育厅召开全省学校视频会议的时间比较少，所以QOS保障在500M就可以了用户至上 用心服务customer first service foremost,4、教育网IP地址分配： 1）各级教育信息平台IP分配方案： 教育厅中心平台系统采用教育厅业务管理平台10.10.0.0 -10.10.255.255 (10.10/16 prefix)，其中10.10.0.0-10.10.31.0预留给省教育厅中心平台和各地市教育局平台内部使用，共32个C。

192.168.32.0/25用于中心平台与CN2对接 专用DNS服务器地址分配：为便于记忆，将两台DNS服务器专网IP地址分别设为：10.10.1.4和10.10.1.9； 每个市（区）分配2个C地址，省教育厅中心平台占2个C地址，全省10个市区加省厅平台，共用22个C 地址，剩余地址留为备用各市（区）业务管理平台服务器专网IP地址分配如下：省平台 10.10.0.0/255.255.254.0西安 10.10.2.0/255.255.254.0咸阳 10.10.4.0/255.255.254.0宝鸡 10.10.6.0/255.255.254.0渭南 10.10.8.0/255.255.254.0安康 10.10.10.0/255.255.254.0商洛 10.10.12.0/255.255.254.0汉中 10.10.14.0/255.255.254.0榆林 10.10.16.0/255.255.254.0延安 10.10.18.0/255.255.254.0铜川 10.10.20.0/255.255.254.0,,用户至上 用心服务customer first service foremost,2）用户业务使用地址，即各级教育机构、学校终端使用的IP地址。

业务使用地址建议采用B类私网地址，再进行子网划分，这样以来既有充足的IP地址可用，保证所有终端有IP地址可用，为以后扩容留下足够的空间，也易于实现路由聚合，发布较少的路由信息去其他网络 由于各级教育机构及中小学采用互联网的介入方式，所以业务使用地址不做规划； 地市 起始 结束 地址段 西安 172.0.0.0 172.127.255.255 128 渭南 172.128.0.0 172.143.255.255 16 咸阳 172.144.0.0 172.159.255.255 16 延安 172.160.0.0 172.175.255.255 16 安康 172.176.0.0 172.183.255.255 8 铜川 172.184.0.0 172.187.255.255 4 商洛 172.188.0.0 172.195.255.255 8 宝鸡 172.196.0.0 172.219.255.255 24 汉中 172.220.0.0 172.231.255.255 12 榆林 172.232.0.0 172.255.255.255 24,城域网与用户对接的地址，随着用户大中小学校和教育局对教育专网的接入，各本地网维护部门可根据省公司的规划，在大段地址里面规划互联地址，本着便于聚敛城域网内路由条目的原则即可。

用户至上 用心服务customer first service foremost,三、省、市教育平台的接入方案： 1、省平台接入方案：省教育厅信息网络平台是所有设备均托管在我公司二长数据机房华为高端防火墙E1000E作为信息平台局域网的出口CE设备，调通到CN2 PE的光纤，接入MPLS VPN 教育专网同时防火墙E1000E调通到城域网SR的光纤，作为NAT转化代理所有教育厅信息平台安全上互联网具体拓朴如下：,,用户至上 用心服务customer first service foremost,2、市教育局平台接入方案：全省10个地市教育局信息网络平台，作为陕西基础教育专网的丰富资源，就近接入各地市电信城域网各市的信息平台可以托管在各地的电信机房，也可以放置在各地市教育局省教育厅和省电信公司按照协议，在每个地市的教育信息平台出口配置华为高端防火墙E1000E，该设备最好托管在电信机房该设备上行出两条千兆线路（网线/光纤均可），一条线路作为CE设备接入城域网PE设备，成为MPLS VPN专网的接入端，绑定专网IP地址；另外一条线路作为各地市L2TP VPN 的LNS服务器接入城域网SR，绑定互联网IP地址。

用户至上 用心服务customer first service foremost,3、市教育局平台托管及防火墙LNS管理： 1）如果市级教育局的信息平台托管在电信机房，华为防火墙E1000E下行通过千兆线路连接信息平台绑定专网IP地址如果市级教育局的信息平台放置在教育局，则需要调通一条从防火墙到教育局的专网线路绑定专网IP地址（带宽由各地市教育局申请）原教育局的互联网线路不变 2）防火墙EDOM1000E设备，即是市级教育信息平台的安全网关，又承担L2TP VPN 的LNS服务器功能该设备打开WEB控制功能，由各地市级的教育局通过WEB页面远程管理和控制本区域内拨号用户的帐户； 3）10个地市的防火墙与城域网相连，使用的互联IP地址为172网段，使用的L2TP拨号地址池为172网段，数据由各地的数据机房规划，由集成公司负责配置使用的拨号帐户命名规则有专门的文件规定在工程验收后，要配置针对本地互联网IP地址范围的拨号限制用户至上 用心服务customer first service foremost,四、市、县教育局、中小学校局域网接入基础教育专网实现方式：,1、第一类接入方式：针对区县教育局有统一互联网出口管理需求，并且已具备支持代理服务的设备条件。

辖区内学校首先通过电信线路接入教育专网，在此基础上，接入专网的学校可通过县教育局的代理设备访问互联网 该方式下，用户局域网直接通过电信线路接入MPLS VPN教育专网，用户局域网内的终端电脑使用由当地电信分公司和教育局主管部门共同管理分配的专网专用的IP地址用户局域网内的终端电脑直接成为基础教育专网的网内主机用户访问互联网的需求通过县教育局防火墙集中NAT转换代理上互联网模型图如下：,,用户至上 用心服务customer first service foremost,第一类接入方式的说明： 1）用户具备区县教育城域网的现状，由市级教育局整理教育城域网的互联网接口和基础教育专网接口； 2）学校局域网内的终端可以使用172网段的规划地址,也可以保持原有局域网地址不变,采用双NAT双路由代理的方式,如果采用使用代理方式,也是将172网段的专网地址转换成原有局域网地址; 以延安教育局需求为例说明: 1）延安教育城域网原统一互联网出口将改变为以县区为单位的互联网出口，延安市教育信息网络中心、十三个县区教育信息平台、四个市直学校，共18个互联网出口。

延安教育城域网内各单位原来的私有IP不变，只需在各单位防火墙上将原来统一的私有IP接口地址改为电信公司提供的公网IP接口地址即可 2）延安市以县区为单位接入省基础教育专网，延安市教育信息网络中心、十三个县区教育信息平台、四个市直学校，共18个省基础教育专网接口各单位接入省基础教育专网，以省基础教育专网统一规划分配的IP地址为专网接口 3）县区教育行政事业单位和下属学校到县区教育信息平台的连接方式不做任何改变，具体线路租用事宜由县区教育局与当地运营商协商决定延安教育城域网内各终端用户访问互联网或省基础教育专网通过对应教育信息平台的防火墙上策略路由（双路由）来实现用户至上 用心服务customer first service foremost,第二类接入方式：对不具备第一类需求条件的区县，辖区内学校首先通过电信线路接入互联网，在此基础上再接入基础教育专网具体有两种方式,分别为1、MPLS+L2TP拨号方式和2、一根光纤承载双业务方式如下说明：,1）MPLS+L2TP拨号方式：针对采用电信AD线路或者光纤接入互联网的学校： 采用VPDN拨号认证方式接入基础教育专网原理。

该方式下，用户现网通过静态IP地址方式接入电信互联网，在此基础网上，用户局域网内需要上专网的终端电脑发起软件拨号认证，建立到基础教育专网LNS设备的L2TP VPN隧道，由专网LNS设备动态分配专网内的IP地址，从而接入MPLS VPN基础教育专网用户的终端电脑可实现根据需要同时访问专网和互联网资源模型图如下：,,用户至上 用心服务customer first service foremost,。