基础教育专网方案.ppt

1,中国电信陕西公司,基础教育专网方案技术实现方法说明,用户至上用心服务customerfirstserviceforemost,用户至上用心服务customerfirstserviceforemost,一、基础教育专网MPLSVPN的整体结构说明；二、基础教育专网的电信侧局数据配置要求；三、省、市教育平台的接入方案；四、学校几种接入方案的实施说明；五、l2tpVPN拨号认证软件的设置方法：,中国电信陕西公司,用户至上用心服务customerfirstserviceforemost,一、基础教育专网MPLSVPN的整体构架如下：,用户至上用心服务customerfirstserviceforemost,二、基础教育专网MPLSVPN的电信侧局数据配置要求如下：1、VRF以及相关参数：,用户至上用心服务customerfirstserviceforemost,2、各地市城域网ASBR与CN2的对接电路配置：（省平台直挂CN2）,用户至上用心服务customerfirstserviceforemost,3、教育专网用户流量评估和带宽设计：,1）第2条所列表格中的电路为城域网与CN2的对接电路，规划为陕西电信大客户跨域vpn组网的共有电路（通过VLAN区分不同的大客户），不是教育专网的专用通道。（教育专网VLAN101）2）用户流量模型设计：陕西教育专网组网中省教育厅平台直接接入CN2PE设备（CN2张家堡12416G2/1/0）；其余各地市用户（各级教育机构和中小学校）采用城域网接入，用户流量跨域通过CN2传递到省平台，用户对带宽的需求主要是实时视频流业务（视频会议时）对带宽的需求。3）用户流量的评估：为满足每个本地网至少100所中小学（学校陆续接入）每个小学278k/bps流量（峰值流量，只有教育厅召开教育系统视频会议的时候）即2M带宽的需求，目前需要每个本地网规划200M的带宽预留。由于每个地市两条链路的承载，每条链路保障100M带宽的QOS；,教育专网组网带宽设计：1）8个地市的城域网到CN2的链路，由于采用了双条链路，所以每一条链路为教育厅专网保障100M带宽的QOS保障；（共计16条链路）2）教育厅信息平台直挂CN2PE设备，已经占用了一个GE的端口，为减轻CN2的负担，可以不必保障1G的QOS；由于教育厅召开全省学校视频会议的时间比较少，所以QOS保障在500M就可以了。,用户至上用心服务customerfirstserviceforemost,4、教育网IP地址分配：1）各级教育信息平台IP分配方案：教育厅中心平台系统采用教育厅业务管理平台10.10.0.0-10.10.255.255(10.10/16prefix)，其中10.10.0.0-10.10.31.0预留给省教育厅中心平台和各地市教育局平台内部使用，共32个C。192.168.32.0/25用于中心平台与CN2对接。专用DNS服务器地址分配：为便于记忆，将两台DNS服务器专网IP地址分别设为：10.10.1.4和10.10.1.9；每个市（区）分配2个C地址，省教育厅中心平台占2个C地址，全省10个市区加省厅平台，共用22个C地址，剩余地址留为备用。各市（区）业务管理平台服务器专网IP地址分配如下：省平台10.10.0.0/255.255.254.0西安10.10.2.0/255.255.254.0咸阳10.10.4.0/255.255.254.0宝鸡10.10.6.0/255.255.254.0渭南10.10.8.0/255.255.254.0安康10.10.10.0/255.255.254.0商洛10.10.12.0/255.255.254.0汉中10.10.14.0/255.255.254.0榆林10.10.16.0/255.255.254.0延安10.10.18.0/255.255.254.0铜川10.10.20.0/255.255.254.0,用户至上用心服务customerfirstserviceforemost,2）用户业务使用地址，即各级教育机构、学校终端使用的IP地址。业务使用地址建议采用B类私网地址，再进行子网划分，这样以来既有充足的IP地址可用，保证所有终端有IP地址可用，为以后扩容留下足够的空间，也易于实现路由聚合，发布较少的路由信息去其他网络。由于各级教育机构及中小学采用互联网的介入方式，所以业务使用地址不做规划；地市起始结束地址段西安172.0.0.0172.127.255.255128渭南172.128.0.0172.143.255.25516咸阳172.144.0.0172.159.255.25516延安172.160.0.0172.175.255.25516安康172.176.0.0172.183.255.2558铜川172.184.0.0172.187.255.2554商洛172.188.0.0172.195.255.2558宝鸡172.196.0.0172.219.255.25524汉中172.220.0.0172.231.255.25512榆林172.232.0.0172.255.255.25524,城域网与用户对接的地址，随着用户大中小学校和教育局对教育专网的接入，各本地网维护部门可根据省公司的规划，在大段地址里面规划互联地址，本着便于聚敛城域网内路由条目的原则即可。,用户至上用心服务customerfirstserviceforemost,三、省、市教育平台的接入方案：1、省平台接入方案：省教育厅信息网络平台是所有设备均托管在我公司二长数据机房。华为高端防火墙E1000E作为信息平台局域网的出口CE设备，调通到CN2PE的光纤，接入MPLSVPN教育专网。同时防火墙E1000E调通到城域网SR的光纤，作为NAT转化代理所有教育厅信息平台安全上互联网。具体拓朴如下：,用户至上用心服务customerfirstserviceforemost,2、市教育局平台接入方案：全省10个地市教育局信息网络平台，作为陕西基础教育专网的丰富资源，就近接入各地市电信城域网。各市的信息平台可以托管在各地的电信机房，也可以放置在各地市教育局。省教育厅和省电信公司按照协议，在每个地市的教育信息平台出口配置华为高端防火墙E1000E，该设备最好托管在电信机房。该设备上行出两条千兆线路（网线/光纤均可），一条线路作为CE设备接入城域网PE设备，成为MPLSVPN专网的接入端，绑定专网IP地址；另外一条线路作为各地市L2TPVPN的LNS服务器接入城域网SR，绑定互联网IP地址。,用户至上用心服务customerfirstserviceforemost,3、市教育局平台托管及防火墙LNS管理：1）如果市级教育局的信息平台托管在电信机房，华为防火墙E1000E下行通过千兆线路连接信息平台绑定专网IP地址。如果市级教育局的信息平台放置在教育局，则需要调通一条从防火墙到教育局的专网线路绑定专网IP地址（带宽由各地市教育局申请）。原教育局的互联网线路不变。2）防火墙EDOM1000E设备，即是市级教育信息平台的安全网关，又承担L2TPVPN的LNS服务器功能。该设备打开WEB控制功能，由各地市级的教育局通过WEB页面远程管理和控制本区域内拨号用户的帐户；3）10个地市的防火墙与城域网相连，使用的互联IP地址为172网段，使用的L2TP拨号地址池为172网段，数据由各地的数据机房规划，由集成公司负责配置。使用的拨号帐户命名规则有专门的文件规定。在工程验收后，要配置针对本地互联网IP地址范围的拨号限制。,用户至上用心服务customerfirstserviceforemost,四、市、县教育局、中小学校局域网接入基础教育专网实现方式：,1、第一类接入方式：针对区县教育局有统一互联网出口管理需求，并且已具备支持代理服务的设备条件。辖区内学校首先通过电信线路接入教育专网，在此基础上，接入专网的学校可通过县教育局的代理设备访问互联网。该方式下，用户局域网直接通过电信线路接入MPLSVPN教育专网，用户局域网内的终端电脑使用由当地电信分公司和教育局主管部门共同管理分配的专网专用的IP地址。用户局域网内的终端电脑直接成为基础教育专网的网内主机。用户访问互联网的需求通过县教育局防火墙集中NAT转换代理上互联网。模型图如下：,用户至上用心服务customerfirstserviceforemost,第一类接入方式的说明：1）用户具备区县教育城域网的现状，由市级教育局整理教育城域网的互联网接口和基础教育专网接口；2）学校局域网内的终端可以使用172网段的规划地址,也可以保持原有局域网地址不变,采用双NAT双路由代理的方式,如果采用使用代理方式,也是将172网段的专网地址转换成原有局域网地址;以延安教育局需求为例说明:1）延安教育城域网原统一互联网出口将改变为以县区为单位的互联网出口，延安市教育信息网络中心、十三个县区教育信息平台、四个市直学校，共18个互联网出口。延安教育城域网内各单位原来的私有IP不变，只需在各单位防火墙上将原来统一的私有IP接口地址改为电信公司提供的公网IP接口地址即可。2）延安市以县区为单位接入省基础教育专网，延安市教育信息网络中心、十三个县区教育信息平台、四个市直学校，共18个省基础教育专网接口。各单位接入省基础教育专网，以省基础教育专网统一规划分配的IP地址为专网接口。3）县区教育行政事业单位和下属学校到县区教育信息平台的连接方式不做任何改变，具体线路租用事宜由县区教育局与当地运营商协商决定。延安教育城域网内各终端用户访问互联网或省基础教育专网通过对应教育信息平台的防火墙上策略路由（双路由）来实现。,用户至上用心服务customerfirstserviceforemost,第二类接入方式：对不具备第一类需求条件的区县，辖区内学校首先通过电信线路接入互联网，在此基础上再接入基础教育专网。具体有两种方式,分别为1、MPLS+L2TP拨号方式和2、一根光纤承载双业务方式。如下说明：,1）MPLS+L2TP拨号方式：针对采用电信AD线路或者光纤接入互联网的学校：采用VPDN拨号认证方式接入基础教育专网原理。该方式下，用户现网通过静态IP地址方式接入电信互联网，在此基础网上，用户局域网内需要上专网的终端电脑发起软件拨号认证，建立到基础教育专网LNS设备的L2TPVPN隧道，由专网LNS设备动态分配专网内的IP地址，从而接入MPLSVPN基础教育专网。用户的终端电脑可实现根据需要同时访问专网和互联网资源。模型图如下：,用户至上用心服务customerfirstserviceforemost,2）一根光纤双业务方式：主要针对采用电信光纤接入互联网的学校：采用一根光纤承载两个业务方式接入基础教育专网原理。该方式下，用户现网通过静态IP地址、光纤线路方式接入电信互联网，电信城域网设备为用户分配一个Vlan号，并帮定一个三层互联网接口。如果用户申请采用一根光纤方式接入基础教育专网，则根据用户的局域网设备特点，为用户实施两种方式的配置模式：在原有城域网设备接口上为用户分配第二个Vlan，并帮定VRF和专网地址；或者在原有VLAN上帮定第二个三层接口，绑定并帮定VRF和专网地址；模型图如下：,用户至上用心服务customerfirstserviceforemost,第二类接入方式的说明：1）如果学校采用MPLS+L2TP拨号方式，可以通过两种方式实现，一种是每个需要上专网的终端电脑均使用VPN拨号软件；一种是通过学校局域网的网关实现代理VPN拨号功能；2）如果学校采用一根光纤双业务方式，可以通过两种方式实现，一种是为学校局域网终端分配172网段的专网地址，一种是通过学校局域网的网关实现双NAT代理功能，（能划分第二虚拟路由器功能）；3）为方便学校接入，也不过分增加学校改造设备投资，通过西安85中的模型结构作以下说明，学校内部终端不需要改变地址，但是可以使用软件来完成网关的切换：,用户至上用心服务customerfirstserviceforemost,4）一根光纤双业务方式：推荐实现方法：两种模式：一根光纤双vlan模式主要适合从二层（vlan）上区别两种网络接入的情况且学校局域网出口设备能支撑区别vlan；一根光纤双三层接口模式主要适合从三层（IP地址）区别两种网络接入的情况，且学校局域网出口设备能配置两个网关。根据其他地市的经验，学校局域网一般情况也不想改变原来的局域网地址规划。所以，那么推荐第二种模式，即电信侧在原学校接入端口上绑定VPNVRF和第二段IP地址（专网地址），学校侧配置第二个NAT转换和第二个网关。学校局域网内的用户可以根据自己的需求，选择不同的网关路由，访问不同的出口网络。,5）一根光纤双业务方式：推荐技术实现步骤：1、如果用户选择在原电信光纤线路的基础上实现同时接入基础教育专网，应该由电信的售前支撑人员和学校的网管人员先进行评估，如果局域网出口为功能强的防火墙和路由器则不需要对出口改造；如果局域网出口为代理服务器则需要进行改造；2、采用双业务方式，电信侧和学校侧的设备端口数据均要修改，所以学校的业务要受到影响。建议由学校和当地电信首先进行测试后（确认学校设备功能），共同确定业务割接方案。实施接入需要在学校确定接入专网时间后，通知当地电信局，在同一个时间点上，电信局修改局端设备的端口数据，学校根据电信分配的专网IP，修改出口设备的端口数据和NAT代理数据。3、为方便学校局域网的管理，局域网内的终端可以安装IP切换器自动进行网关的切换。另外在学校局域网出口改造时可以利用华硕的3014系列、飞鱼星系列等。,用户至上用心服务customerfirstserviceforemost,3、第三类接入方式：对于学校网络业务需求复杂多样的情况，学校可直接与当地电信公司联系通过网络扩容接入基础教育专网；学校申请专门的线路接入基础教育专网，和现有的网络接入物理分开。这种模式适合局域网规模大或者已经存在特定网络应用的单位。学校可根据自己的需要规划局域网的结构，合理安排局域网内的终端电脑上不同的网络，实现不同的网络应用。学校不但可保障已有特定网络业务不受影响，还可以自主发展网络应用，而不是通过集中统一的出口管理。模型图如下：,用户至上用心服务customerfirstserviceforemost,1）采用第二条线路接入基础教育专网的优势与特点：学校根据网络规模专门申请一条线路接入基础教育专网。学校原有的网络接入不受影响，原有互联网应用不变，特别是网站应用等不受影响，学校可以自主发展在网络上的教学活动；学校现有互联网网与基础教育专网的接入明显区分，保障了基础教育专网的专网特性。安全性、可靠性高，对基础教育专网的使用不受互联网的影响；学校局域网内的规划也比较灵活，基础教育专网的接入线路可直接接入局域网的主交换(绕开代理设备)，根据自己的需要规划上专网的主机范围。不需要和电信协商原线路的割接方案。电信公司对第二条线路的接入施行比较大的优惠政策。,2）采用第二条线路接入基础教育专网的技术流程步骤：学校根据网络规模专门申请第二条线路接入基础教育专网。电信侧响应客户需求，根据专网的地址规划为第二条线路分配专网的IP地址，并配置VPN端口数据；学校在第二条线路接入学校后，根据本身局域网的特点和管理需求灵活部安排础教育专网的接入和局域网的管理。,用户至上用心服务customerfirstserviceforemost,4、关于基础教育专网质量保障对用户接入方式带宽选择的要求意见：为保障基础教育专网对网络质量的要求，特别是保障教育厅召开全省范围内的动态视频会议的专网质量。对用户接入方式的选择做如下规范建议:1、单条ADSL线路接入，为保障动态视频流质量，最低申请带宽4兆，最多承载5台电脑规模的校园局域网。对于大于5台规模的校园局域网，采用扩容的方法接入基础教育专网；2、对于5台以上，30台以内的校园局域网，可采用10兆带宽以内的光纤方式接入基础教育专网；3、对于30台以上，100台以内的校园局域网，可采用100兆带宽以内的光纤方式接入基础教育专网；4、针对100台以上的校园局域网，由于需要同时保障互联网和基础教育专网的质量，建议采用扩容的方法接入基础教育专网。建议学校根据自己接入基础教育专网的网络规模对应选择以上四条所规范的接入方式和带宽。对于接入基础教育专网的网络网络规模超过规范所建议带宽选择的单位，电信不承诺其在基础教育专网之内的质量保障。(方案网络侧的设备配置脚本参见下发的实施方案.),用户至上用心服务customerfirstserviceforemost,五、l2tp拨号认证软件的设置方法：创建L2TP连接到远程网络注意由于Windows2000/xp系统缺省情况下启动了IPSec功能，因此在发起VPN请求时应禁止IPSec功能，在命令行模式下执行regedit命令，弹出“注册表编辑器”对话框。在左侧注册表项目中逐级找到：HKEY_LOCAL_MACHINESystemCurrentControlSetServicesRasmanParameters，单击Parameters参数，接着在右边窗口空白处单击鼠标右键，选择新建/DWORD值并新建一个注册表值（名称为ProhibitIPSec，值为1），然后重新启动Windows2000/xp。WINDOWSXP操作系统打开“网络连接”：开始-设置，双击“网络连接”；“创建一个新的连接”选择“连接到我的工作场所的网络”选择“虚拟专用网络连接”公司名（可以随便填写）选择“不拨初始连接”输入IP为10.110.157.102（radius或者LNS地址，必须保证用户的地址跟该地址可达）选择“不使用我的智能卡”选择“任何人使用”完成。L2TP连接使用用户名：wvrp密码：wvrp；（用户名和密码由raius服务器分配）L2TP连接属性设置：如图,用户至上用心服务customerfirstserviceforemost,用户至上用心服务customerfirstserviceforemost,用户至上用心服务customerfirstserviceforemost,WINDOWS2000操作系统打开“网络和拨号连接”：开始设置，双击“网络和拨号连接”；“新建连接”“下一步”选择“通过Internet连接到专用网络”输入IP地址“10.110.157.102”“所有用户使用此连接”“启用此连接的Internet连接共享”前不打钩“完成”。L2TP连接使用用户名：wvrp密码：wvrp；L2TP连接属性设置：图3-5VPN类型设置,用户至上用心服务customerfirstserviceforemost,