基础教育专网方案.

安康新楼T128
延安新大楼T128
gei_ 2/3.101
gei_ 5/3.101
192.168.32.54/30
192.168.32.58/30
CN2安康12416-2
CN2延安12416-1
GE 1/0/3.101
GE 2/0/4.101
192.168.32.53/30
192.168.32.57/30
宝鸡神农T128
渭南中心局T128
gei_ 3/4.101
gei_ 2/2.101
192.168.32.30/30
192.168.32.34/30
CN宝鸡12416-2
CN2渭南12416-1
GE2/1/0.101
GE2/2/3.101
192.168.32.29/30
192.168.32.33/30
延安老局T128
榆林老局T128
gei_ 5/3.101
gei_ 4/1.101
192.168.32.62/30
192.168.32.66/30
CN2延安12416-2
CN2榆林12416-1
GE 2/1/4.101
GE2/0/0.101
192.168.32.61/30
192.168.32.65/30
用户至上
用心服务
customer first service foremost
四、市、县教育局、中小学校局域网接入基础教育专网实现方式： 1、第一类接入方式：针对区县教育局有统一互联网出口管理需求，并且已具备支 持代理服务的设备条件。 辖区内学校首先通过电信线路接入教育专网，在此基础上，接入专网的学校可通 过县教育局的代理设备访问互联网。 该方式下，用户局域网直接通过电信线路接入MPLS VPN教育专网，用户局域网 内的终端电脑使用由当地电信分公司和教育局主管部门共同管理分配的专网专用的 IP地址。用户局域网内的终端电脑直接成为基础教育专网的网内主机。用户访问互 联网的需求通过县教育局防火墙集中NAT转换代理上互联网。模型图如下：
地市名称 CN2设备侧 全省八地市城域网侧 省教育厅平台
用户至上
用心服务
customer first service foremost
2、各地市城域网ASBR与CN2的对接电路配置：（省平台直挂CN2 ）
设备名称 省教育厅平台 咸阳中心局T128 咸阳西郊T128 宝鸡大厦T128 接口/子接口 待定 gei_ 6/1.101 gei_ 3/4.101 gei_ 3/4.101 IP地址 192.168.32.6/30 192.168.32.18/30 192.168.32.22/30 192.168.32.26/30 设备名称 CN2张家堡12416 CN2咸阳12416-1 CN2咸阳12416-2 CN2宝鸡12416-1 接口/子接口 GE2/1/0 GE 2/0/6.101 GE 2/1/1.101 GE2/0/4.101 IP地址 192.168.32.5/30 192.168.32.17/30 192.168.32.21/30 192.168.32.25/30
二、基础教育专网MPLS VPN的电信侧局数据配置要求如下：
1、VRF以及相关参数：
地市名称 全省八地市相同 VRF命名
CTVPN37009-SXJYT
地市名称 CN2设备侧
RD 命名 4809：37009 6527X:37009
全省八地市城域网侧
省教育厅平台
65329:37009
RT命名 4809：3700900 6527X:3700900 65329:3700900
汉中西关T128
安康老楼T128
gei_ 5/2.101
gei_ 2/2.101
192.168.32.46/30
192.168.32.50/30
CN2汉中12416-2
CN2安康12416-1
GE 2/1/0.101
GE 1/0/5.101
192.168.32.45/30
192.168.32.49/30
三、省、市教育平台的接入方案；
四、学校几种接入方案的实施说明； 五、l2tp VPN 拨号认证软件的设置方法：
用户至上
用心服务
customer first service foremost
一、基础教育专网MPLS VPN的整体构架如下：
中国电信陕西公司
用户至上
用心服务
customer first service foremost
用户至上
用心服务
customer first service foremost
4、教育网IP地址分配： 1）各级教育信息平台IP分配方案： 教育厅中心平台系统采用教育厅业务管理平台10.10.0.0 -10.10.255.255 (10.10/16 prefix)，其中10.10.0.0-10.10.31.0预留给省教育厅中心平台和各地市教育 局平台内部使用，共32个C。192.168.32.0/25用于中心平台与CN2对接。 专用DNS服务器地址分配：为便于记忆，将两台DNS服务器专网IP地址分别设 为：10.10.1.4和10.10.1.9； 每个市（区）分配2个C地址，省教育厅中心平台占2个C地址，全省10个市区 加省厅平台，共用22个C 地址，剩余地址留为备用。各市（区）业务管理平台服务 器专网IP地址分配如下：
西华门ASBR/VRR-1
gei 1/0/7
192.168.32.78/30
CN2西华门12416
GE3/1/0.101
192.168.32.77/30
用户至上
用心服务
customer first service foremost
3、教育专网用户流量评估和带宽设计： 1）第2条所列表格中的电路为城域网与CN2的对接电路，规划为陕西电信大客户跨 域vpn组网的共有电路（通过VLAN区分不同的大客户），不是教育专网的专用通道。 （教育专网VLAN101） 2）用户流量模型设计：陕西教育专网组网中省教育厅平台直接接入 CN2 PE设备 （CN2张家堡12416G2/1/0）；其余各地市用户（各级教育机构和中小学校）采用城 域网接入，用户流量跨域通过CN2 传递到省平台，用户对带宽的需求主要是实时视 频流业务（视频会议时）对带宽的需求。 3）用户流量的评估：为满足每个本地网至少100所中小学（学校陆续接入）每个小 学278k/bps流量（峰值流量，只有教育厅召开教育系统视频会议的时候）即2M带宽 的需求，目前需要每个本地网规划200M的带宽预留。由于每个地市两条链路的承载， 每条链路保障100M带宽的QOS； 教育专网组网带宽设计： 1）8个地市的城域网到CN2的链路，由于采用了双条链路，所以每一条链路为教育厅 专网保障100M带宽的QOS保障；（共计16条链路） 2）教育厅信息平台直挂CN2 PE设备，已经占用了一个GE的端口，为减轻CN2的负担， 可以不必保障1G的QOS；由于教育厅召开全省学校视频会议的时间比较少，所以QOS 保障在500M就可以了。
渭南新大楼T128
汉中中心局T128
gei_ 2/2.101
gei_ 5/1.101
192.168.32.38/30
192.168.32.42/30
CN2渭南12416-2
CN2汉中12416-1
GE2/1/2.101
GE 2/0/5.101
192.168.32.37/30
192.168.32.41/30
2）防火墙EDOM1000E设备，即是市级教育信息平台的安全网关，又承担L2TP VPN 的LNS服务器功能。该设备打开WEB控制功能，由各地市级的教育局通过 WEB页面远程管理和控制本区域内拨号用户的帐户； 3）10个地市的防火墙与城域网相连，使用的互联IP地址为172网段，使用的L2TP 拨号地址池为172网段，数据由各地的数据机房规划，由集成公司负责配置。使用的 拨号帐户命名规则有专门的文件规定。在工程验收后，要配置针对本地互联网IP地 址范围的拨号限制。
榆林新大楼T1Biblioteka 8张家堡ASBR/VRR-2
gei_ 1/3.101
gei 1/0/7
192.168.32.70/30
192.168.32.74/30
CN2榆林12416-2
CN2张家堡12416
GE0/0/1.101
GE 2/1/1.101
192.168.32.69/30
192.168.32.73/30
1
用户至上
用心服务
customer first service foremost
基础教育专网方案 技术实现方法说明
中国电信陕西公司
用户至上
用心服务
customer first service foremost
一、基础教育专网MPLS VPN的整体结构说明； 二、基础教育专网的电信侧局数据配置要求；
省平台 西安 咸阳 宝鸡 渭南 安康 商洛 汉中 榆林 延安 铜川 10.10.0.0/255.255.254.0 10.10.2.0/255.255.254.0 10.10.4.0/255.255.254.0 10.10.6.0/255.255.254.0 10.10.8.0/255.255.254.0 10.10.10.0/255.255.254.0 10.10.12.0/255.255.254.0 10.10.14.0/255.255.254.0 10.10.16.0/255.255.254.0 10.10.18.0/255.255.254.0 10.10.20.0/255.255.254.0
用户至上
用心服务
customer first service foremost
3、市教育局平台托管及防火墙LNS管理： 1）如果市级教育局的信息平台托管在电信机房，华为防火墙E1000E下行通过千 兆线路连接信息平台绑定专网IP地址。如果市级教育局的信息平台放置在教育局， 则需要调通一条从防火墙到教育局的专网线路绑定专网IP地址（带宽由各地市教育 局申请）。原教育局的互联网线路不变。
用户至上
用心服务
customer first service foremost
2）用户业务使用地址，即各级教育机构、学校终端使用的IP地址。 业务使用地址建议采用B类私网地址，再进行子网划分，这样以来既有充足 的IP地址可用，保证所有终端有IP地址可用，为以后扩容留下足够的空间，也易 于实现路由聚合，发布较少的路由信息去其他网络。 由于各级教育机构及中小学采用互联网的介入方式，所以业务使用地址不做规划； 地市 起始 结束 地址段 西安 172.0.0.0 172.127.255.255 128 渭南 172.128.0.0 172.143.255.255 16 咸阳 172.144.0.0 172.159.255.255 16 延安 172.160.0.0 172.175.255.255 16 安康 172.176.0.0 172.183.255.255 8 铜川 172.184.0.0 172.187.255.255 4 商洛 172.188.0.0 172.195.255.255 8 宝鸡 172.196.0.0 172.219.255.255 24 汉中 172.220.0.0 172.231.255.255 12 榆林 172.232.0.0 172.255.255.255 24 城域网与用户对接的地址，随着用户大中小学校和教育局对教育专网的接 入，各本地网维护部门可根据省公司的规划，在大段地址里面规划互联地址， 本着便于聚敛城域网内路由条目的原则即可。
用户至上
用心服务
customer first service foremost
三、省、市教育平台的接入方案：
1、省平台接入方案：省教育厅信息网络平台是所有设备均托管在我公 司二长数据机房。华为高端防火墙E1000E作为信息平台局域网的出口CE设 备，调通到CN2 PE的光纤，接入MPLS VPN 教育专网。同时防火墙E1000E 调通到城域网SR的光纤，作为NAT转化代理所有教育厅信息平台安全上互联 网。具体拓朴如下：
用户至上
用心服务
customer first service foremost
2、市教育局平台接入方案：全省10个地市教育局信息网络平台，作为陕 西基础教育专网的丰富资源，就近接入各地市电信城域网。各市的信息平台 可以托管在各地的电信机房，也可以放置在各地市教育局。省教育厅和省电 信公司按照协议，在每个地市的教育信息平台出口配置华为高端防火墙 E1000E，该设备最好托管在电信机房。该设备上行出两条千兆线路（网线/光 纤均可），一条线路作为CE设备接入城域网PE设备，成为MPLS VPN专网的 接入端，绑定专网IP地址；另外一条线路作为各地市L2TP VPN 的LNS服务器 接入城域网SR，绑定互联网IP地址。