温州市教育网络总体设计

温州市全市的所有直属学校通过VSU-100设备接入到电信数据网络中（电信数据网为 每一个学校提供必要的固定IP，提供100M的光纤链路，并且保证所有学校在网络的第二层 透明）。

全市下属的所有县区均统一接入电信数据网，每一个县建立网络中心，通过一台 VSU2000设备与市教科网中心进行VPN连接。所有县区均采用由市教科委统一分配的内部 网络地址，以便于统一安全管理。

原则上，县区的Internet信息发布必须通过温州市教科委中心统一出口到Internet。但对 于Internet的访问可以通过每一个县区的需要，独立在县中心租用连接到Internet的出口。

对于所有教师需要在Internet上远程访问教育网内部资源的，由各县统一上报温州市教育网 络中心，统一分配Remoteclient软件和用户权限。

总体网络设计图

1.路由设计：

原有一条Cisco2610路由器连接的2M链路到中国教科网。保留该连接主要为了利用较 多的Internet IP地址。网络主要Internet流量通过AvayaAccesspoint1000高性能路由器来完 成。该路由器除了支持丰富的广域网接口以及高带宽路由转发速度外，其先进的流量工程设 计可以很好地保障关键业务的资源预留，以免因其他非重要业务占用了宝贵的Internet带宽 资源。

2.VPN设计

与AccessPoint1000并列的VSU5000主要用作对来自Internet上面的其他VPN客户端 的访问进行响应。接入到电信数据网的VSU5000主要用来做对于其他县市及本市一些学校 的VPN网关设备的响应。

3.IP地址计划原则

上广电建议网络服务器及PC全部采用私有地址，全网采用10网段的A类地址，并下 划分为多个标准的B类地址。根据每个地区的地址需求，按需分配地址，并留有一定的富 余地址空间。在网络中心，所有接入到Internet或者电信数据网络或中国教科网的设备一律 采用ISP提供的Internet地址。而对内的连接全部采用内部地址。

网络中心原则上所有的地址转换NAT工作都放在Brick防火墙中进行，一般采用动态 地址转换，需要进行信息发布的服务区针对每一个服务做静态地址映射以及安全策略，包括 下属县区需要发布的服务器原则上必须通过中心统一转换和发布。

4.网络管理

该网络管理包括两大部分（VPN manager 和CajunView），分别用于管理温州市教科网 的VPN网络策略以及网络中心的Cajun系列交换机。该网管可集中安装或分布安装，上广 电建议采用两台大屏幕（大于19英寸）的奔腾3PC工作站（建议配置：19英寸纯平面显示 器，PIII1G单CPU，512M内存，Matrox G200以上显卡（32M显存），40G硬盘（7200RPM）， Windows2000Professional操作系统（简体中文或英文），32XCD-ROM））

温州各县教育网络中心设计

温州各县教育网络中心是本县信息资源的中心，是连接各学校和集中交换汇集中心，也 是连接Internet和市教科网的互联中心。因此，其主要目的是实现教育城域网之间的优化传 输，县网络中心设计任务的重点通常是冗余能力、可靠性和高速的传输。

在各个县，根据总体的网络规划以及网络的带宽需求，在中心机房放置一台电信级的千 兆路由交换机Cajun P580，作为县网络中心的核心交换机。在Cajun P580核心交换机上配 置了冗余电源和一个管理模块(Supervisor)，1块4口或者8口的1000BaseSX模块和1块24 口10/100M模块。已有的网络设备和服务器等以10/100/1000M的以太网方式接入骨干网。

也可在县教科网中心一个小型的IDC（Internet数据中心），各下属学校单位可统一将 Web服务器等放置在教科网中心，由教科网中心统一门户进行集中发布。也可由教科网中 心采用虚拟主机的方式为学校单位进行发布。

在县教科网的中心机房放置一台VSU5000作为各学校的接入的中心VPN网关， VSU5000支持5000个VPN用户（节点或远程用户）接入隧道，采用专用的ASIC芯片进行 加密，其在168位的IPSec加密下，吞吐量高达90Mbps。VSU5000共有两个10/100M接口， 一口连接教科网内部网络，另一口连接电信提供的数据网络上。另配置一套VPNmanager 软件进行集中的VPN管理，也可提交给温州市网络中心管理。