论文部分内容阅读
平度教育网是由山东省平度市教育体育局规划建设的覆盖全市范围内各级各类教育机构的专用城域网络,并与青岛市教育城域网、国际互联网相连。主要功能有:视频点播、教学资源库、电子邮件、内部公务、财务记账、高考监控等。
平度教育网内部共连接94个学校,100余个计算机网络教室,各个学校与信息中心之间采用路由器与核心交换机相连,实现三层网内交换。信息中心及学校服务器机群有百余台服务器,其中16台服务器拥有国际互联网独立的IP地址,通过青岛教育网统一解析,允许国际互联网用户进行访问。其它服务器采用青岛市统一分配的网内的IP地址,在青岛教育城域网内部实现资源共享和访问。
根据教育教学及管理工作实际需要,平度教育网内的联网计算机要实现高速访问国际互联网、青岛教育网及内部资源、青岛教育金宏网(仅允许青岛教育网内用户访问,国际互联网用户无权访问)。高考监控功能要求在青岛市招办能够通过网络直接监控到平度市各高考考场的音视频,但其数据不能直接穿透防火墙。同时要允许国际互联网用户通过青岛教育网访问平度教育网内部16台拥有IP地址的服务器。
为实现以上功能,我们规划了四条线路,其结构图如下:
第1条线路,是网内的所有计算机对青岛教育网、其它各市区教育网、教育金宏网实现访问所走的路线。其中CISCO7204路由器与青岛市教育网信息中心通过建立VPN通道实现专线连接,从而保证教育网内部数据传输不受外界干扰。各学校的内部访问数据通过学校路由器R2624/R2501 直接路由到RG6810E,由RG6810E通过路由表判断后,直接路由到CISCO7204,由CISCO7204路由到青岛市教育网信息中心,从而实现该功能。
第2条线路,是青岛教育网内用户对平度教育网内进行访问,以及为实现高考监控功能而设立的数据通道。由于采用的是内部的IP地址访问,因此在CISCO7204上通过路由表进行选择后,直接将数据上传到RG6810E,由RG6810E进一步通过路由表直接访问该计算机资源。其所有数据没有经过防火墙,路径短,又能达到高考监控的要求。
第3条线路,是国际互联网用户,即青岛教育网以外的用户,要访问平度教育网内拥有国际互联网合法IP地址服务器所走的线路。这部分服务器的IP地址是在青岛市教育网信息中心进行地址解析,并转换为内部地址访问。因此外部的访问只能通过这条线路实现。由于外部访问的源地址与本地国际互联网出口访问地址相重,必须采用策略路由来解决,但6810E及CISCO7204无法实现该功能,只能通过RG-WALL-1000来实现。为解决这一问题,我们在CISCO-7204上添加国际互联网用户可访问的16台服务器的内部IP地址路由表,将所有访问这些服务器的数据路由到RG-WALL-1000,由RG-WALL-1000通过源路由来实现双出口选择。再由RG-WALL-1000将访问数据发送到RG6810E来实现。
设置源路由。由于仅有部分服务器需要将数据返回,因此仅需将这部分服务器的内网IP地址通过源路由指向10.10.10.2(如WWW服务器,将172.24.0.2路由指向10.10.10.2)
第4条线路,是平度教育网内计算机高速访问国际互联网所走的线路。我们开设了一个100M Internet出口,通过RG-WALL-1000利用网通公司分配的合法IP地址(60.209.103.202)进行NAT转换来实现访问,同时通过RG-WALL-1000实现数据过滤、攻击防范、内外网隔离。这样既实现了高速访问,又达到了保护内部网络数据安全的目的。
上述网络架构,规划合理,投入少。通过以上规划与调整并经运转测试,平度教育网平稳高速运转,达到了建网的预期目标。
平度教育网内部共连接94个学校,100余个计算机网络教室,各个学校与信息中心之间采用路由器与核心交换机相连,实现三层网内交换。信息中心及学校服务器机群有百余台服务器,其中16台服务器拥有国际互联网独立的IP地址,通过青岛教育网统一解析,允许国际互联网用户进行访问。其它服务器采用青岛市统一分配的网内的IP地址,在青岛教育城域网内部实现资源共享和访问。
根据教育教学及管理工作实际需要,平度教育网内的联网计算机要实现高速访问国际互联网、青岛教育网及内部资源、青岛教育金宏网(仅允许青岛教育网内用户访问,国际互联网用户无权访问)。高考监控功能要求在青岛市招办能够通过网络直接监控到平度市各高考考场的音视频,但其数据不能直接穿透防火墙。同时要允许国际互联网用户通过青岛教育网访问平度教育网内部16台拥有IP地址的服务器。
为实现以上功能,我们规划了四条线路,其结构图如下:
第1条线路,是网内的所有计算机对青岛教育网、其它各市区教育网、教育金宏网实现访问所走的路线。其中CISCO7204路由器与青岛市教育网信息中心通过建立VPN通道实现专线连接,从而保证教育网内部数据传输不受外界干扰。各学校的内部访问数据通过学校路由器R2624/R2501 直接路由到RG6810E,由RG6810E通过路由表判断后,直接路由到CISCO7204,由CISCO7204路由到青岛市教育网信息中心,从而实现该功能。
第2条线路,是青岛教育网内用户对平度教育网内进行访问,以及为实现高考监控功能而设立的数据通道。由于采用的是内部的IP地址访问,因此在CISCO7204上通过路由表进行选择后,直接将数据上传到RG6810E,由RG6810E进一步通过路由表直接访问该计算机资源。其所有数据没有经过防火墙,路径短,又能达到高考监控的要求。
第3条线路,是国际互联网用户,即青岛教育网以外的用户,要访问平度教育网内拥有国际互联网合法IP地址服务器所走的线路。这部分服务器的IP地址是在青岛市教育网信息中心进行地址解析,并转换为内部地址访问。因此外部的访问只能通过这条线路实现。由于外部访问的源地址与本地国际互联网出口访问地址相重,必须采用策略路由来解决,但6810E及CISCO7204无法实现该功能,只能通过RG-WALL-1000来实现。为解决这一问题,我们在CISCO-7204上添加国际互联网用户可访问的16台服务器的内部IP地址路由表,将所有访问这些服务器的数据路由到RG-WALL-1000,由RG-WALL-1000通过源路由来实现双出口选择。再由RG-WALL-1000将访问数据发送到RG6810E来实现。
设置源路由。由于仅有部分服务器需要将数据返回,因此仅需将这部分服务器的内网IP地址通过源路由指向10.10.10.2(如WWW服务器,将172.24.0.2路由指向10.10.10.2)
第4条线路,是平度教育网内计算机高速访问国际互联网所走的线路。我们开设了一个100M Internet出口,通过RG-WALL-1000利用网通公司分配的合法IP地址(60.209.103.202)进行NAT转换来实现访问,同时通过RG-WALL-1000实现数据过滤、攻击防范、内外网隔离。这样既实现了高速访问,又达到了保护内部网络数据安全的目的。
上述网络架构,规划合理,投入少。通过以上规划与调整并经运转测试,平度教育网平稳高速运转,达到了建网的预期目标。