随着教育信息化在全国逐渐普及,学校相继建立了自己的校园网络,形成了层次分明功能完善的纵向网络体系,但是在学校之间的网络建设则相对滞后,在教育系统内部出现了众多的信息孤岛。
为了解决上述问题,教育城域网应运而生。教育城域网是将本地区的教育机构、研究机构全部通过网络互联,实现教育资源整合、开放、共享,达到整体信息化的集成运用的宽带网络,最终形成的一个区域性的互联、互动、信息交换、资源共享和远程教育的基础架构。与普通校园网不同,教育城域网发挥骨干网的延伸作用,承载信息与整合资源,将各地区分散的局域网从物理上联系起来。
教育城域网一般有两个或多个网络出口,分别是与 cernet接入的 1000mbps以上的出口及与其他互联网运营商连接的互联端口。城域网将向 cernet申请获得大量的真实 ip地址,并向其他运营商申请部分作为 nat转换的其他运营商地址,另外城域网也可以和本地区的政务网的其他互联网进行互联已满足本地区的网络互联需求。
为了加强管理,便于各个学校校园网接入到教育城域网中,对各接入单位的接入方法和技术要求规定如下:
接入条件 :
1.凡要接入教育城域网的单位,须先申请中国教育和科研网( cernet) ip地址;
2.在申请到 ip地址后,在 edu.cn域下注册学校的域名,或在 cn域下,注册 *.edu.cn域名。建立学校 dns服务器和 dns数据库;
3.学校在设计校园网方案中,必须具有路由功能的网络设备(如路由器或多层交换机)。
接入方式 :
1. 教育城域网按照接入方式的不同,速率为2m/100m/1000mbps等。
2.传输介质: 5类以上 utp;单模光纤。
3. 接口标准为:光接口: st /sc/ fc/lc
电接口: rj-45
4.接入方式:
①直连方式,即学校网络设备通过暗光纤 /光中继设备直接连接到城域网接入设备。如图 1所示:
从安全策略考虑,允许在接入设备和学校网络设备加装防火墙。如图 2所示:
②通过 vpn方式接入,即学校网络设备和接入设备都按本地电信网接入规范以 2m/100m/1000mbps连接到本地电信网,再通过 vpn方式实现与深圳教育城域网的接入。如图 3所示:
值得注意的是,有些电信运营商是通过 mpls/vpn技术实现虚拟私有网络,并在用户群之间形成一个全网状连接关系。各学校可从网络安全的角度在学校网络设备前加装防火墙。
ip地址分配:
对采用直连方式,城域网接入设备的下行链路和学校网络设备的上行链路构成一个 /30子网,其地址由教育城域网网络中心分配(见图 1)。对加装防火墙的学校,防火墙外部接口地址由教育城域网网络中心分配,防火墙内部接口地址和 dmz接口地址由学校从 cernet获得的 ip地址中分配(见图 2)。
对采用互联网 vpn方式,城域网接入设备的下行链路和学校网络设备的上行链路构成一个完全封闭的子网,其地址由相关运营商分配。对加装防火墙的学校,防火墙外部接口地址由其他运营商分配,防火墙内部接口地址和 dmz接口地址由学校从 cernet获得的 ip地址中分配(见图 3)。
路由设置:
为保证教育城域网路由的稳定性和路由快速收敛,防止路由回路和路由欺骗,防止由于学校网络的误配置对教育城域网造成影响,在路由规划、路由协议选择和路由配置上,建议如下:
1.教育城域网主干网采用动态路由协议实现路由信息的交换;
2.在教育城域网接入设备与学校网络路由器之间采用静态路由协议,即在教育城域网接入设备上为每个学校网络设置一条静态路由,下一跳为各学校网络的边界路由器;在各个学校边界路由器或防火墙上设置一条缺省路由,下一跳为教育城域网接入设备;
3.通过将指向学校的静态路由重分发到动态路由协议中,实现学校之间的 ip连通性;
4.学校网络内部可根据自身情况选择静态 /动态路由协议。
|
