灌云教育城域网培训教材

教育城域网出口解决方案
出口引擎
流量控制
日志集中
统一日志分析平台
Si
区域教育城域网
统一网关
统一网关
统一网关
基础网络完善
业务支撑优化
教育城域网为何需要实名制上网
一个帖子的故事
• 职称评选 • 工资待遇
安全事件 能够定位 到人
一根网线的故事
• 拉网线 • 校园网 接入不可控
•上网发泄
免责 合规
管控 实名 制
学校A
学校B
学校C
重点中小学
普通中小学
普通中小学
第二代教育城域网的特点：混合模式
县电教馆/信息中心 INTERNET
VPN
ISP CERNET 运营商 MPLS VPN ADSL线路
。。。 普通中小学
普通中小学 （偏远）
第三代教育城域网的特点：统一模式
INTERNET
县电教馆\信息中心
环网
CERNET
一、VLAN约定
1、VLAN 1，VLAN 200老师用VLAN； 2、VLAN100，交换机管理用VLAN； 3、VLAN300，VLAN400，学生电脑用VLAN 4、VLAN500，服务器用VLAN
安全网关操作培训手册
• 路由模式
在这种模式下，防 火墙类似于一台路由 器转发数据包，将接 收到的数据包的源 MAC 地址替换为相 应接口的MAC 地址， 然后转发。该模式适 用于每个区域都不在 同一个网段的情况。 和路由器一样，防火 墙的每个接口均要根 据区域规划配置IP 地址。 用户管理接口类型: CLI:Console Telnet SSH WebUI: HTTP HTTPS
重点中小学 重点中小学
光纤 光纤 。。。 普通中小学 重点中小学
普通中小学
普通中小学
第四代教育城域网的特点：融合模式
县电教馆\信息中心 INTERNET 统一认证 应用整合 实名制管理 环网
CERNET
重点中小学 重点中小学
光纤 光纤 。。。 普通中小学 重点中小学
普通中小学
普通中小学
本章小结
• 网络与应用单点登录
核心交换机RG8606
核心交换机端口： Gig0/1用于上联安全网关； Gig0/1-- Gig0/12用于下联接 入交换机Gig0/49-50口； Gig0/13-- Gig0/24用于接入应 用服务器
应用服务器
办公用RGS2652G-I
学生用RGS2652G-I
中小型学校网络设备介绍
校园网出口网关SG6000-M3100
学校局域网交换机常用命令
县教育局 内部网络
核心交换机
1000M
10.0.0.1/24 10.0.0.2/24
MPLS/VPN
10.19.X.X/24
核心交换机 完小
10.19.X.X/24
出口网关
10.19.X.X/24
出口网关
10.19.X.X/24
出口网关
小型校园网
核心交换机
中型校园网
核心交换机
接入交换机
大型校园
核心交换机
登陆后
安全网关操作WebUI界面初始页面结构
设备面板的端口连 接状态 导航菜单
设备基本信息，包 括：序列号、运行 时间、软件版本、 AV及特征库版本等
CPU、内存、会话 数等设备运行情况
学校局域网互联核心交换操作
光纤收发器 Eth0/1端口 山石网科
Eth0/2端口 Gig0/1端口
锐捷S6806 Gig0/2
业务板卡M8600-24GT/12SFP
接入交换机RG-S2652G-I
大型学校网络设备连接图
光纤收发器 安全网关端口： ethernet 0/0用于安全网关 WEB管理口； ethernet 0/1用于上联到电信光 纤收器电口； ethernet 0/2用于下联到核心交 换机Gig0/1；
校园网出口网关SG6000-G2110
Cernet
100M省 218.92.44.18/28
Web 服务器
防火墙 出 口 区 域 网络行为 管理
服务器群：教学资源库、视频点播 、数字图书馆、学籍管理、办公OA 等 日志系统 网络管理 运维管理 认证系统
数据中心 交换机
运营管理中心
接入交换机
Si
Si
Si
城域网 数据中心
图例
万兆光纤 千兆单模 千兆电口 百兆双绞线
应用整合优化
第四代 融合模式
业务支撑优化 • 网络实名制 • 业务运维管理
第三代 统一模式
网络完善阶段
• 网络出口优化 • 核心骨干升级 • 智能无线网络建设 • 数据中心建设
第二代 混合模式
基础设施普及
•各个学校建立校园网
第一代 松散模式
教育城域网的用户需求
极速的上网体验
灵活独立的校内管理
随时随地的资源获取
1、各学校网络出口地址由市电教馆统一分配，使用10.19.X.X/24网段。 2、互联网公网IP在县教馆统一分配，有需要的可以申请做地址映射。 3、192.168.0.1/32网段用于各学校山石网关与核心交换机互联。 4、192.168.100.1/24网段用于各学校局域网交换机管理地址。 5、192.168.101.1/24，192.168.102.1/24，用于老师办公用IP段。 6、192.168.103.1/24，192.168.104.1/24，用于学生电脑用IP段。 7、192.168.105.1/24，用于校内应用服务器用IP段。
第三代：统一模式 （2008 ～ 现在）
业务应用驱动网络建设！ 根据网络链路、业务应用、管理方式及建设关注点共四个方面把教育 城域网发展分为四个阶段
Ⅲ
Ⅳ
第四代：融合模式 （2010 ～ 未来）
第一代教育城域网的特点：松散模式
INTERNET
专线 县电教馆\信息中心
电信运营商
ADSL线路 ADSL线路 DDN线路
核心交换机
核心交换机端口： Gig0/1用于上联安全网关； Gig0/2-- Gig0/12用于下联接入 交换机Gig0/49-50口； Gig0/13-- Gig0/24用于接入应 用服务器；
应用服务器
办公用RGS2652G-I
学生用RGS2652G-I
教育城域网IP地址及VLAN使用约定
一、IP地址规划
教育城域网的管理者需求
实名制上网 学校上网行为管理
管理者 需求
IT资源的统一管理 信息化成果展示 信息化投资决策支持
教育城域网的业务应用系统
教务管理系统
电子巡考系统
一卡通系统
视频会议系统
家校通平台系统
门户网站系统
1
教育城域网的发展趋势及需求分析 灌云教育城域网解决方案 网络设备介绍及操作命令
2
Internet
ETH1：202.99.88.2 ETH3：10.1.1.2 ETH2：192.168.7.2 10.1.1.0/24 网段
外网、DMZ区、内网都不在同一网段， 防火墙做路由方式。这时，防火墙相当 于一个路由器。 内部网 192.168.7.0/24 网段
安全网关操作WebUI 方式
3
灌云教育城域网网络现状
CHINANET CERNET
WEB 数据库 Mail OA
市电教中心
内网
县电教中心
交换机
中国电信 MPLS/VPN
三层交换机 防火墙
中学
交换机 ===
中学
交换机
小学
交换机 === 交换机
小学
===
===
===
===
灌云教育城域网整体规划图
ChinaNet
1000M 100M市
• 通过Web方式进行管理 • 缺省的管理信息 允许管理的接口 ethernet 0/0 http://192.168.1.1 用户名与密码为hillstone
安全网关操作图形化管理界面-WebUI
基于浏览器的WebUI管理方式简单灵活，可以完成常用的各种配置。 准备工作： 安全网关设备的e0/0接口配有默认IP地址192.168.1.1，该接口的 各种管理功能均为开启状态。初次使用可以通过该接口管理设备， 具体操作为： 将管理PC的IP地址设置为与192.168.1.1/24同网段的IP地址，打 开PC的Web浏览器，输入http://192.168.1.1 设备默认管理员用户名及密码均为“hillstone”
Gig0/3
锐捷S2652G
VLAN 1 VLAN 1 Gig0/49
VLAN 300
Gig0/26
锐捷S2628G
核心交换机配置： 1、进入特权模式 S8606>enable S8606# 2、进入配置模式 S8606#config t S8606(config)# 3、配置管理VLAN S8606(config)#vlan 100 S8606(config-vlan)# 4、配置管理IP地址 S8606(config)#int vlan 100 S8606(config-VLAN 100)#ip add 192.168.100.1 255.255.255.0
接入交换机
接入交换机 接入交换机
下属学校网络典型架构
教育城域网
综合出口网关 核心交换机 核心交换机
接入交换机
完小
接入交换机
接入交换机
接入交换机
普通中小学
基础网络完善
业务支撑优化
教育城域网出口面临的挑战
综上，单纯的设备堆砌已经无法满足需求，互联 网出口建设需要一套完整的解决方案。
基础网络完善
业务支撑优化
学校局域网互联核心交换操作
5、配置服务器用IP地址 S8606(config)#int vlan 500 S8606(config-VLAN 500)#ip add 192.168.105.1 255.255.255.0 S8606(config-VLAN 500)#exit S8606(config)# int vlan 200（可继续配置办公用IP） 6、配置接口模式 S8606(config)# interface Gig 0/2 S8606(config-if)# switchport mode trunk S8606(config)# interface Gig 0/14 S8606(config-if)# switchport access vlan 500 注意：用于山石网科与核心交换机互联IP地址是192.168.0.2/32，因此禁 止局域网再使用小路由起NAT功能，造成IP冲突。 如果学校笔本记使用，布线不方便，建议使用无线AP接入交换机， 老师使用的IP地址统一由核心交换机分配。
创新网络、成就教育未来
灌云教育城域网技术培训教材
中博信息技术研究院有限公司 2012.11.04
1
教育城域网的发展趋势及需求分析 灌云教育城域网解决方案 网络设备介绍及操作命令
ቤተ መጻሕፍቲ ባይዱ
2
3
教育城域网发展的四个阶段及其特点
Ⅰ
第一代：松散模式 （2000～2005年）
Ⅱ
第二代：混合模式 （2005～2008年）
路由 NAT 内容 审计 统一网 安全
关
日志 审计 流控 URL 过滤
全面的安全防攻保护
完善的上网行为管理
精细化的流量分析控制
1
教育城域网的发展趋势及需求分析 灌云教育城域网解决方案 网络设备介绍及操作命令
2
3
大型学校网络设备介绍
安全网关山石网科SG-6000-G2110
核心交换机RG8606
管理引擎M8606-CMII
杜绝不被 授权的网 络接入
建设符合 规范的安 全体系
基础网络完善
业务支撑优化
教育城域网实名制解决方案
集中的实名日志
Si Si
教育信息中心
Si Si
有线无线的统一管理
教育城域网专线
统一网关 统一网关 统一网关
Si
Si
Si
重点中学
普通中学
。。。。。。
小学/幼儿园
基础网络完善
业务支撑优化
实名制方案核心组件——统一网关
核心交换机RG-XX24GT/8SFP
汇聚交换机RG-S2652G-I
中小型学校网络设备连接图
安全网关端口： ethernet 0/0用于安全网关 WEB管理口； ethernet 0/1用于上联到电信光 纤收器电口； ethernet 0/2用于下联到核心交 换机Gig0/1； 光纤收发器
校园网出口网关SG6000-M3100
学校局域网互联接入交换操作
接入交换机配置： 1、配置管理VLAN S2652(config)#vlan 100 S2652(config-vlan)# S2652(config)#vlan 200 2、配置管理IP地址 S2652 (config)#int vlan 100 S2652 (config-VLAN 500)#ip add 192.168.100.2 255.255.255.0 3、配置上联核心的端口工作模式 S2652 (config)# interface Gig 0/49 S2652 (config-if)# switchport mode trunk 4、配置下联电脑的端口工作模式 S2652 (config)# interface f 0/2 S2652 (config-if)# switchport access vlan 200