屏蔽不同地域的網(wǎng)絡(luò)差異，科學(xué)合理地把各地區(qū)的教育網(wǎng)絡(luò)連接成一個(gè)整體的地區(qū)教育城域網(wǎng)是教育行政主管部門在建設(shè)教育城域網(wǎng)時(shí)面臨的主要任務(wù)。本文以廣東省佛山市為例，介紹了應(yīng)用靜態(tài)和動(dòng)態(tài)路由相結(jié)合、NAT和IP地址重定向等技術(shù)，實(shí)現(xiàn)不同地域教育網(wǎng)絡(luò)互連互通的方法，解決了長(zhǎng)期以來困擾教育主管部門的網(wǎng)絡(luò)傳輸不暢通、管理不到位的問題。
　　廣東省佛山市直轄禪城、南海、順德、三水和高明五區(qū)，五區(qū)均有建設(shè)在不同網(wǎng)絡(luò)平臺(tái)上的區(qū)域教育網(wǎng)。禪城和高明區(qū)教育網(wǎng)絡(luò)是利用廣播電視網(wǎng)絡(luò)公司提供的HFC(Hybrid Fiber—Coaxial)組建的。HFC是一個(gè)由光纖和同軸電纜混合組成的傳輸網(wǎng)絡(luò)，學(xué)校通過ETHERnet或CABLEMODE方式接入，提供10M／100M的接入帶寬。南海和順德則采用中國(guó)電訊提供的異步轉(zhuǎn)移模式，為學(xué)校提供PSTN、XDSL(即數(shù)字用戶線路，是以電話銅線為傳輸介質(zhì)的點(diǎn)對(duì)點(diǎn)傳輸技術(shù))、ETHERnet等多種接入方式，帶寬有多種選擇。三水區(qū)使用廣東贏通公司的POS技術(shù)(IP over SDH)，學(xué)校通過ETHERnet方式接入。五區(qū)的教育網(wǎng)運(yùn)行在不同運(yùn)營(yíng)商的網(wǎng)絡(luò)平臺(tái)上，造成各區(qū)教育網(wǎng)絡(luò)互連困難，網(wǎng)絡(luò)帶寬不足，數(shù)據(jù)傳輸不暢通，阻礙了教育信息化的發(fā)展進(jìn)程。
　　
　　一、教育城域網(wǎng)建設(shè)目標(biāo)
　　
　　佛山教育城域網(wǎng)是廣東省基礎(chǔ)教育網(wǎng)(省教科網(wǎng))的地區(qū)子網(wǎng)絡(luò)，由佛山市五區(qū)教育子網(wǎng)(校園網(wǎng)、網(wǎng)上學(xué)校、教育網(wǎng)站和個(gè)人用戶)組成。目標(biāo)是統(tǒng)一使用網(wǎng)絡(luò)出口、IP地址和域名命名，使原來不在同一個(gè)運(yùn)營(yíng)商網(wǎng)絡(luò)平臺(tái)上的教育區(qū)域網(wǎng)實(shí)現(xiàn)互連互通，加強(qiáng)信息與網(wǎng)絡(luò)安全管理，實(shí)現(xiàn)資源共享，均衡教育信息化的發(fā)展，提升教育信息化應(yīng)用的績(jī)效。
　　
　　二、技術(shù)難點(diǎn)及對(duì)策
　　
　　(一)技術(shù)難點(diǎn)
　　實(shí)現(xiàn)建設(shè)目標(biāo)所帶來的技術(shù)問題是網(wǎng)絡(luò)設(shè)計(jì)、互連路由策略、現(xiàn)有和原有的IP地址映射、IP地址的使用和分配、核心和邊界路由配置、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)與信息安全等問題。在不改變各區(qū)域教育網(wǎng)現(xiàn)狀的條件下，建成跨多個(gè)網(wǎng)絡(luò)平臺(tái)(運(yùn)營(yíng)商)的地區(qū)教育城域網(wǎng)，其組網(wǎng)方式較為少見，這不僅是技術(shù)問題，還涉及平等的互連和互通、各方面的利益和發(fā)展、觀念等問題。
　　
　　(二)對(duì)策
　　把教育城域網(wǎng)設(shè)計(jì)成星型，使網(wǎng)絡(luò)更具有開放性、可擴(kuò)展性和伸縮性，各區(qū)教育網(wǎng)則成為地區(qū)教育城域網(wǎng)的子網(wǎng)。通過租用光纖電路，設(shè)置教育城域網(wǎng)核心路由，利用動(dòng)態(tài)和靜態(tài)路由技術(shù)相結(jié)合模式，使教育城域網(wǎng)高速上連廣東省基礎(chǔ)教育網(wǎng)(Cernet)，橫連Chinanet和GOV—NET等網(wǎng)絡(luò)。在各區(qū)教育子網(wǎng)網(wǎng)絡(luò)管NB4mbqqiYem+2hVSj5RQ7w==理中心出口設(shè)置邊界路由，屏蔽各區(qū)域教育網(wǎng)絡(luò)的差異，并負(fù)責(zé)本區(qū)學(xué)校的匯接。各區(qū)下屬學(xué)校由網(wǎng)絡(luò)運(yùn)營(yíng)商統(tǒng)一匯接到區(qū)教育子網(wǎng)的邊界路由上。統(tǒng)一使用教育城域網(wǎng)分配的IP地址，域名由地區(qū)教育信息網(wǎng)絡(luò)管理中心負(fù)責(zé)命名與解釋，學(xué)校的IP地址由邊界路由做NAT(Network AddressTranslation)。根據(jù)網(wǎng)絡(luò)結(jié)構(gòu)，設(shè)計(jì)合適的路由協(xié)議，能夠?qū)崿F(xiàn)網(wǎng)絡(luò)路徑選擇優(yōu)化，同時(shí)具有路徑均衡的功能。在網(wǎng)絡(luò)結(jié)構(gòu)發(fā)生變化時(shí)，數(shù)據(jù)能夠通過其他路徑迂回，保證網(wǎng)絡(luò)的暢通。因?yàn)镺SPF(開放最短路徑優(yōu)先)為動(dòng)態(tài)路由協(xié)議，一旦網(wǎng)絡(luò)路由出現(xiàn)問題，將影響到整個(gè)OSPF協(xié)議域，引起整個(gè)網(wǎng)絡(luò)的路由振蕩(FLAP)，所以佛山教育城域網(wǎng)采用混合的路由模式，在可管轄范圍內(nèi)的骨干層采用OSPF動(dòng)態(tài)路由協(xié)議，在網(wǎng)絡(luò)的出口與匯聚層采用靜態(tài)路由協(xié)議。各區(qū)子網(wǎng)的匯接三層路由交換設(shè)備采用靜態(tài)路由設(shè)置。將佛山教育城域網(wǎng)的市、區(qū)網(wǎng)絡(luò)中心的六臺(tái)路由器劃分成AREAO，最大限度地利用OSPF的管理優(yōu)勢(shì)。
　　
　　三、方案的設(shè)計(jì)
　　
　　(一)網(wǎng)絡(luò)設(shè)計(jì)
　　在佛山市教育信息網(wǎng)絡(luò)管理中心設(shè)置核心路由器，匯聚來自各邊界路由的數(shù)據(jù)流量，為各區(qū)教育局和學(xué)校提供通向廣東省基礎(chǔ)教育網(wǎng)(CERNET)、CHINANET和GOV—NT4KfTOfHx5+9/bPMgU9JGg==ET等出口連接。在網(wǎng)絡(luò)的出口配置防火墻和信息過濾系統(tǒng)，為全網(wǎng)提供網(wǎng)絡(luò)與信息安全服務(wù)。在各區(qū)域網(wǎng)絡(luò)出口配置相應(yīng)的網(wǎng)絡(luò)監(jiān)控與管理、防病毒等設(shè)備，用于監(jiān)控網(wǎng)絡(luò)的運(yùn)行和信息過濾。
　　在佛山市教育信息網(wǎng)絡(luò)管理中心配置吉比特交換路由器作為自治系統(tǒng)路由器(ASBR)，各區(qū)教育信息網(wǎng)絡(luò)管理中心配置吉比特交換路由器作為邊界路由器(ABR)。租用網(wǎng)絡(luò)運(yùn)營(yíng)商的光纖電路連接核心路由和各區(qū)子網(wǎng)絡(luò)的邊界路由。把配置在市、區(qū)網(wǎng)絡(luò)管理中心的骨干路由設(shè)備設(shè)置為骨干區(qū)域AREO。骨干層的邊界路由器通過千兆以太網(wǎng)口與匯接層的路由交換設(shè)備連接。學(xué)校則通過網(wǎng)絡(luò)運(yùn)營(yíng)商提供的虛擬網(wǎng)絡(luò)的10/100M以太網(wǎng)口接入，形成各區(qū)教育子網(wǎng)絡(luò)。網(wǎng)絡(luò)運(yùn)營(yíng)商只起到接人的作用，各區(qū)自行管理本區(qū)的教育網(wǎng)絡(luò)。佛山市教育信息網(wǎng)絡(luò)管理中心提供三個(gè)外連出口線路：一是廣東省基礎(chǔ)教育網(wǎng)(默認(rèn)路由)，二是Chinanet(網(wǎng)絡(luò)互連)，三是本地的政府網(wǎng)絡(luò)、禪通寬帶網(wǎng)絡(luò)(網(wǎng)絡(luò)互連、備份出口)。網(wǎng)絡(luò)核心與邊界路由設(shè)備采用華為NetEngine80系列通用交換路由器。NE 80基于分布式的網(wǎng)絡(luò)處理器硬件轉(zhuǎn)發(fā)和無阻塞交換技術(shù)，具備優(yōu)異的擴(kuò)展能力，可以通過軟件平滑升級(jí)的方式支持IPv6。
　　
　　(二)NAT(Network Address Translation)設(shè)計(jì)
　　全市各區(qū)統(tǒng)一使用教育城域網(wǎng)的IP地址。由于可申請(qǐng)到的合法IP地址很有限，因此，學(xué)校需要使用由佛山市教育信息網(wǎng)絡(luò)管理中心分配的保留地址10.x.x.x，地址由區(qū)教育信息網(wǎng)絡(luò)管理中心統(tǒng)一劃分管理。學(xué)校訪問廣東省基礎(chǔ)教育網(wǎng)和Internet時(shí)，需要在邊界路由上做NAT。另外，各區(qū)原有運(yùn)營(yíng)商提供的I P地址也需要與市教育信息網(wǎng)絡(luò)管理中心分配的教育城域網(wǎng)IP地址一一映射，確保原有的網(wǎng)絡(luò)服務(wù)不受影響，各運(yùn)營(yíng)商的利益不受損失。
　　
　　(三)子網(wǎng)IP地址使用與路由控制
　　IP地址劃分是優(yōu)化路由處理的重要組成部分。在寬帶教育城域網(wǎng)中，各級(jí)各類學(xué)校使用保留地址10.x.x.x，地址按區(qū)域劃分。采用私有IP地址訪問Internet時(shí)，設(shè)立網(wǎng)關(guān)實(shí)現(xiàn)私有IP地址與合法IP地址之間的地址轉(zhuǎn)換(NAT)。從安全方面考慮，與其他網(wǎng)絡(luò)互連的設(shè)備和公開的服務(wù)器使用合法的IP地址，可以被Internet上的其他節(jié)點(diǎn)訪問。其他設(shè)備和主機(jī)使用私有的IP地址，不能直接被Internet訪問，因此系統(tǒng)的安全性較好。在各邊界路由器上部署有效的NAT，把教育城域網(wǎng)IP地址映射到各教育子網(wǎng)正在使用的本地網(wǎng)絡(luò)運(yùn)營(yíng)商提供的IP地址上，使廣東省基礎(chǔ)教育網(wǎng)用戶可以快速訪問的同時(shí)，不改變各教育子網(wǎng)正在使用的I P地址，各網(wǎng)絡(luò)運(yùn)營(yíng)商的用戶又可使用本網(wǎng)IP地址快速訪問教育城域網(wǎng)。通過地址重定向，可以把教育城域網(wǎng)IP地址的不同端口映射轄區(qū)學(xué)校的應(yīng)用服務(wù)設(shè)備(保留IP地址)。這樣，既可以節(jié)省合法的IP地址，又能向Internet發(fā)布信息和提供應(yīng)用服務(wù)。
　　
　　(四)域名管理
　　各子網(wǎng)的用戶使用統(tǒng)一的域名命名規(guī)則，學(xué)校使用二級(jí)域名命名規(guī)則，使域名的使用更方便、可讀性更強(qiáng)。由市教育信息網(wǎng)絡(luò)管理中心統(tǒng)一解析域名，可以節(jié)省域名的注冊(cè)費(fèi)用等。
　　
　　(五)MPLS VPN在教育城域網(wǎng)中的應(yīng)用
　　使用先進(jìn)的MPLS技術(shù)，科學(xué)合理地規(guī)劃教育城域網(wǎng)的業(yè)務(wù)傳輸，把網(wǎng)絡(luò)劃分成為教育行政專網(wǎng)、高校專網(wǎng)、基教專網(wǎng)、考試專網(wǎng)、網(wǎng)絡(luò)評(píng)卷專網(wǎng)、視頻會(huì)議專網(wǎng)等多個(gè)虛擬專用計(jì)算機(jī)網(wǎng)絡(luò)，保證業(yè)務(wù)傳輸?shù)母咝Ш头€(wěn)定，為教育行政部門、學(xué)校、教師與學(xué)生提供多種優(yōu)質(zhì)、安全的網(wǎng)絡(luò)傳輸服務(wù)。
　　
　　(六)網(wǎng)絡(luò)管理
　　在佛山市教育信息網(wǎng)絡(luò)管理中心配置華為公司的Quidview網(wǎng)管系統(tǒng)，為教育城域網(wǎng)絡(luò)骨干設(shè)備提供快速管理服務(wù)。系統(tǒng)分為綜合網(wǎng)絡(luò)管理Quidview和綜合業(yè)務(wù)管理，負(fù)責(zé)骨干網(wǎng)絡(luò)的管理、IP地址分配與管理、域名的命名與管理、網(wǎng)絡(luò)出口與路由策略的管理。各區(qū)教育信息網(wǎng)絡(luò)管理中心負(fù)責(zé)子網(wǎng)的管理、學(xué)校的接入、地址的轉(zhuǎn)換、子網(wǎng)的IP地址與學(xué)校域名的分配與管理。網(wǎng)絡(luò)管理員通過網(wǎng)管軟件對(duì)網(wǎng)絡(luò)實(shí)施全面監(jiān)控和管理。
　　
　　(七)計(jì)費(fèi)系統(tǒng)
　　計(jì)費(fèi)過程通常是在用戶使用網(wǎng)絡(luò)過程中統(tǒng)計(jì)用戶的網(wǎng)絡(luò)數(shù)據(jù)流量，按照用戶的流量大小進(jìn)行計(jì)費(fèi)。佛山教育城域網(wǎng)采用華為公司的iSPath計(jì)費(fèi)網(wǎng)關(guān)作為全網(wǎng)的計(jì)費(fèi)和統(tǒng)計(jì)分析管理，采用硬件和軟件處理相結(jié)合的方式完成用戶認(rèn)證和計(jì)費(fèi)，突破了傳統(tǒng)軟件計(jì)費(fèi)產(chǎn)品的性能瓶頸，在不影響流量采集精度的情況下可以達(dá)到千兆線速的處理能力。
　　
　　(八)網(wǎng)管系統(tǒng)自身的安全
　　將網(wǎng)管網(wǎng)和業(yè)務(wù)網(wǎng)通過物理網(wǎng)絡(luò)、VLAN、獨(dú)立的VPN等隔離，不把網(wǎng)管站暴露在公網(wǎng)上，減少受攻擊的機(jī)會(huì)。此外，在網(wǎng)管站與外界之間增加防火墻，進(jìn)行訪問控制和過濾。對(duì)網(wǎng)管站本身，關(guān)閉不使用的服務(wù)和端口，增加操作系統(tǒng)的安全級(jí)別。在備份方面，Quidview網(wǎng)管系統(tǒng)考慮周全，提供冷備份、溫備份和熱備份等各層次的備份手段，使得網(wǎng)管數(shù)據(jù)不丟失和業(yè)務(wù)不間斷，亦可進(jìn)行本地和異地備份。
　　
　　(九)網(wǎng)絡(luò)與信息安全
　　1、網(wǎng)絡(luò)安全
　　在主干出口設(shè)置防火墻，對(duì)信息進(jìn)行過濾，分析數(shù)據(jù)包的狀態(tài)，監(jiān)控網(wǎng)絡(luò)的運(yùn)行。下屬各區(qū)子網(wǎng)統(tǒng)一使用教育城域網(wǎng)的IP地址和域名，通過中心路由7LD7W++MSNgOO+AEG8JYLw==交換機(jī)接入廣東省基礎(chǔ)教育網(wǎng)。實(shí)時(shí)監(jiān)測(cè)各子網(wǎng)的運(yùn)行狀態(tài)，管理并維護(hù)整個(gè)網(wǎng)絡(luò)。在城域網(wǎng)骨干出口配置天融信公司生產(chǎn)的網(wǎng)絡(luò)衛(wèi)士防火墻4000UF，構(gòu)造安全、高效、可靠的網(wǎng)絡(luò)安全系統(tǒng)。
　　2、信息安全
　　在各區(qū)網(wǎng)絡(luò)中心或?qū)W校校園網(wǎng)配置信息過濾設(shè)施，可以有效地阻止有害信息的流入。借助強(qiáng)大的互聯(lián)網(wǎng)搜索引擎技術(shù)，運(yùn)用智能型的技術(shù)與專業(yè)人員的分析，對(duì)互聯(lián)網(wǎng)不同網(wǎng)站與網(wǎng)頁(yè)進(jìn)行分類判別。采取有效的管理機(jī)制，對(duì)不同類別網(wǎng)站訪問進(jìn)行有效控制，設(shè)置黑白名單，進(jìn)行相應(yīng)的允許和禁止設(shè)置。對(duì)關(guān)鍵詞搜索、實(shí)時(shí)通訊程序和文件下載進(jìn)行過濾設(shè)置，對(duì)用戶流量進(jìn)行限制等，從而達(dá)到對(duì)上網(wǎng)行為的監(jiān)控管理。
　　3、計(jì)算機(jī)病毒防御策略
　　部署Symantec防病毒系統(tǒng)，作為佛山市教育城域網(wǎng)全網(wǎng)病毒防護(hù)系統(tǒng)。為了有效地防治計(jì)算機(jī)病毒，不單是在每一臺(tái)聯(lián)網(wǎng)的計(jì)算機(jī)上進(jìn)行防護(hù)，還要對(duì)網(wǎng)絡(luò)進(jìn)行有效、嚴(yán)格的監(jiān)控，降低病毒傳播的機(jī)會(huì)。各區(qū)教育信息網(wǎng)絡(luò)管理中心在子網(wǎng)的邊界配置病毒防護(hù)系統(tǒng)，以保護(hù)本區(qū)域的計(jì)算機(jī)系統(tǒng)，建立起本區(qū)防計(jì)算機(jī)病毒中心，對(duì)網(wǎng)絡(luò)和設(shè)備進(jìn)行掃描，為客戶計(jì)算機(jī)提供病毒防護(hù)、預(yù)警通知和技術(shù)更新。采取集中控制和分布管理相結(jié)合的模式，實(shí)現(xiàn)自動(dòng)聯(lián)機(jī)、迅速偵測(cè)、快速分析與維護(hù)。
　　
　　(十)網(wǎng)絡(luò)服務(wù)質(zhì)量與IPV6的過渡
　　1、QOS服務(wù)模型的選擇
　　佛山教育城域網(wǎng)覆蓋了市到區(qū)、區(qū)到鎮(zhèn)的全部區(qū)域，同時(shí)要承載IP電話、IP網(wǎng)絡(luò)會(huì)議、流媒體服務(wù)等多種實(shí)時(shí)大流量業(yè)務(wù)，對(duì)網(wǎng)絡(luò)設(shè)備(路由器)是一個(gè)很大的考驗(yàn)。Diff-serv模式具有處理效率高、伸縮性較好、部署和實(shí)施方便的特點(diǎn)，因此選用Diff-serv模式較為合適。華為NetEngine 80系列通用交換路由器提供了很好的QOS。
　　2、關(guān)于IPV6的過渡
　　為了實(shí)現(xiàn)IPV6和IPV4網(wǎng)絡(luò)資源的互訪，需要進(jìn)行服務(wù)轉(zhuǎn)換來實(shí)現(xiàn)IPV6和IPV4的互通。雙棧技術(shù)較適合佛山教育城域網(wǎng)將來平滑過渡到IPV6，利用具有雙棧功能的IPV4節(jié)點(diǎn)直接訪問IPV6的網(wǎng)絡(luò)，實(shí)現(xiàn)IPV6和IPV4的互通。華為NetEngine 80系列通用交換路由器支持雙棧協(xié)議，只需啟用雙棧協(xié)議和配置I PV6地址，就能夠快速、安全、平滑地從IPV4過渡到IPV6。
　　佛山教育城域網(wǎng)的建設(shè)，使架設(shè)在不同(運(yùn)營(yíng)商)網(wǎng)絡(luò)平臺(tái)上的縣區(qū)教育網(wǎng)實(shí)現(xiàn)了統(tǒng)一匯接到廣東省基礎(chǔ)教育網(wǎng)和統(tǒng)一使用IP地址、統(tǒng)一域名命名和管理的目標(biāo)。無論是Chinanet、GOV-NET或是廣東省基礎(chǔ)教育網(wǎng)都能快速地訪問到佛山教育局域網(wǎng)，有效地解決了縣區(qū)教育網(wǎng)絡(luò)不能接入廣東省基礎(chǔ)教育網(wǎng)和教育行政部門不能實(shí)施統(tǒng)一管理以及不能開展多種教育管理和教學(xué)等問題。
　　
　　(作者單位：廣東佛山市教育信息網(wǎng)絡(luò)管理中