随着现代信息技术的高速发展,中国教育行业的信息化水平不断提高,各级教育网的规划和建设已遍及全国各地。当前,中国教育网的特点是:网络数量众多,网络的负担重,上网机器数量多,经费紧张。因此要求网络设备实用,性能价格比高。
一般情况下,教育科研网和电信网互通的带宽比较小,如果学校既要访问教育科研网,又要访问电信网时,采取什么样的接入方案才会既经济又使用呢?针对这个问题,艾泰科技提供了非常出色的解决方案,本文主要介绍其中的两种。
一 教育网接入解决方案1
1. 需求
各个学校在建设校园网的初期,往往需要共享教育科研网资源,一般都是通过单一的线路(如光纤)接入教育科研网。由于单一的出口是通过教育科研网,而教育科研网和电信运营商的互连互通线路带宽比较小,所以这些学校的电脑访问电信运营商网络非常慢,甚至不可达。
一些有条件的学校,为了解决这个“慢”的问题,又向当地电信运营商申请一根线路(光纤或DSL接入),当需要访问电信网络的时候切换到电信运营商的线路。这样,虽然使用增加的线路访问电信网络快了,但每次线路切换都需要学校的网络管理员手工进行,无疑是非常麻烦和不方便的。
教育科研网给学校分配了较多的教育网地址,学校需要使用这些地址开设WEB服务器、邮件服务器等,还有,国外的一些研究型的网站只对来自教育网的访问开放,对来自其他地方的访问则拒绝,因此,访问国外这些网站的地址必须通过教育网的线路。
2. 解决方案
为了解决上述问题,上海艾泰科技公司设计了HiPER 3300NB/4520NB等安全网关,这些设备具有双WAN口,可以将它的一个出口连接到教育科研网,另外一个出口连接到当地运营商,学校内部网接到局域网口。下面以一个例子来说明我们的解决方案。
某学校申请了两条线路,其中一条是教育科研网100M光纤,另外一条是电信4M光纤。学校内部总共有300台机器,它们使用教育科研网分配的地址:202.120.12.1/23~202.120.13.254/23,学校使用的连接地址是202.120.1.2/30,连接到教育科研网的网关是202.120.1.1/30。学校内部电脑访问教育科研网的时候通过100M光纤的教育科研网线路,而且不通过NAT。访问其余网络的时候通过电信的4M线路,通过NAT。
建议配置:
HiPER通过LAN口连接内部交换机,内部地址是202.120.12.0/23,LAN口地址可设置成202.120.12.1/23,内部机器的网关全部指向202.120.12.1/23。
WAN口接电信4M的线路,WAN2/DMZ口接100M的教育科研网线路。通过HiPER的快速向导配置主线路(4M的线路),然后在端口配置界面中配置WAN2 /DMZ端口的地址是202.120.1.2/30,网关是202.120.1.1/30(100M的线路)。
经过考查,该学校要访问的教育科研网的地址是202.120.0.0/16,因此,到线路组合中加一条调度规则:目的网络202.120.0.0,网络掩码255.255.0.0,线路选择备份线路。这样所有访问教育科研网的数据将通过WAN2口直接路由出网。
一旦需要访问教育网的地址增加,只需要在HiPER 3300NB/4520NB的路由表中增加到指定网络路由从教育网的出口走就可以了。需求中提到的研究型的网站的IP地址列表也添加到教育网的出口的线路上。
3. 方案特点
本方案的特点是用比较简单实用的方式,帮助学校实现了同时访问Internet和教育科研网。只需一台宽带接入设备——HiPER 3300NB或者4520NB,即可同时接入两条线路,而且可以保证用户充分使用线路带宽。同时,HiPER设备具备的其他特点也能有效解决网络中使用的问题,如,
防火墙实现包的过滤,URL过滤和关键词过滤,确保实现学校的绿色上网。通过HiPER提供的管理和监控可以查看网络中存在的问题,如冲击波,带宽等。
通过CBT算法实现对P2P超量下载的抑制
二 教育网接入解决方案2
1. 需求
在很多地市中,教育网的结构是,有些学校首先连接到当地的教委,教委连接到教育科研网。有些学校是直接连接到当地的电信运营商,各个学校由于经费的限制,不再申请第二个线路。
一般地,教委除了前面提到的教育科研网出口以外,也会申请当地电信运营商的线路。在一个地市中,教委会在自己的网站上发布教学的信息,供各个学校共享的多媒体教学软件等。
如果学校的接口是直接连接到教委,没有电信运营商的线路,连接到Internet的速度将会非常慢,甚至无法连接上。反过来,如果学校的接口只有电信运营商的线路,访问教委的教学信息时延特别长,甚至不能访问。
2. 解决方案
针对上述问题,上海艾泰科技有限公司提供了一种简便有效的方案,在不增加现有线路的基础上,既解决了学校上网的问题,又解决了学校访问教委或者其他学校资源的问题。下面以一个例子来说明我们的解决方案。
某地区教委的内部使用IP地址是192.168.0.0/16,从教育科研网得到的公网IP地址是211.67.1.0/24。教委向当地电信运营商申请了光纤接入,并得到若干个公网地址:218.1.1.1/28~218.1.1.10/28。当地第一中学通过光纤接入到教委,使用地址192.168.1.0/24,第四中学通过电信运营商申请了光纤接入,带宽为6M,运营商提供一个公网地址。
现在的问题是,第一中学访问教委的资源比较快,第四中学访问Internet比较快,而第一中学访问Internet慢,第四中学想要查看教委的公告信息时也非常慢。那么,如何提高第一中学访问Internet的速度和第四中学查看教委的公告信息的速度呢?我们提供的解决方案如下:
在教委的出口配置一台HiPER 3300VF VPN/4520VF VPN安全网关,HiPER 3300VF/4520VF的WAN口连接电信运营商的线路,地址是218.1.1.10/28,LAN口连接到教委的内部网络,WAN2/DMZ口连接到教育科研网的出口;在第四中学的出口处,根据网络的情况,可以选择使用HiPER 2231CS,或者HiPER HiPER 3100VF等设备,并在HiPER中建立一条连接到教委的HiPER 3300VF/4520VF的VPN隧道。
建议配置:
在第四中学的HiPER处,所有访问教委或其他学校的数据将会通过VPN隧道到达HiPER 3300VF/4520VF的WAN口,然后传送到教委内部网络。由于HiPER 3300VF/4520VF的WAN口和第四中学的HiPER同处于当地电信运营商网,因此跳过了从电信到教育网的互连接口,访问速度大大提高。所有访问非教委或其他学校的数据将直接送到Internet上。
在教委出口的HiPER 3300VF/4520VF上,WAN口和WAN2/DMZ口都激活NAT,访问教育科研网的从WAN2出口,访问其他的从WAN口出口。本地教委需要对其他地市发布信息的服务器,可以使用教育科研网的公网地址,3300VF/4520VF支持NAT和非NAT的混合使用。
3. 方案特点
本方案的特点是用比较简单实用的方式,专业地解决了跨两个网络的互连问题。每个学校只需要申请一条线路,即可以访问Internet,也可以访问教育科研网的资源。而且,如果两个学校采用不同的接入方式(如电信的光纤和光纤直连教委),也可以实现两个学校之间的相互访问。
另外,HiPER提供了网络监控功能,在网络有异常情况的时候,容易查看网络内部的感染冲击波病毒的机器,为网络管理提供了一个简洁的查看手段。同样,防火墙功能和带宽管理功能为各个学校的网络管理提供了方便。