二、基础教育专网接入方式
制定原则:一是不增加学校设备投入;二是方便学校在现有网络基础上选择不同方式接入基础教育专网;三是确保学校在访问专网的同时不影响其互联网的使用。
(一)第一类接入方式
针对县(区)教育局有统一互联网和专网出口管理需求的情况,可采用第一类接入方式。
1.实现方式一
辖区内学校首先通过电信线路接入基础教育专网,在此基础上,接入专网的学校可通过县教育局的代理设备访问互联网。该方式下,学校主机直接通过电信线路接入基础教育专网,学校使用由教育局主管部门和当地电信公司共同管理分配的专网IP地址。模型图如下:(略)
(1)访问互联网:用户访问互联网的需求通过县教育局防火墙集中NAT转换代理上互联网。
(2)访问专网:对于有路由器、防火墙和代理服务器设备的学校,学校内部主机IP地址可不做调整,电信公司和教育局管理部门只需给学校分配一个专网IP,学校通过可通过代理上网设备集中NAT转换代理上专网;无代理上网设备的学校,学校主机使用由教育局主管部门和当地电信公司共同管理分配的专网IP地址,直接成为基础教育专网的网内主机,直接与专网连接。
2.实现方式二
在县级设备上增加专网出口,并单独接一根专网线路,在出口防火墙设备上做路由和双NAT转换,这种方式保持可保持区县和学校原有IP地址规划不变,区县和学校也不用添加任何硬件设备,由区县统一互联网出口和专网出口,学校可以同时访问互联网和专网资源。
3.实现方式三
各接入学校在县级统一接入互联网的基础上,申请一定数量的专网接入账号,接入专网的电脑安装虚拟拨号软件,并拨号建立VPN隧道后访问专网资源,这种方式可以保证原有学校和区县的已有IP地址规划不变,由区县统一互联网出口,各学校单独接入专网,学校可以同时访问互联网和专网资源。
4.优缺点
优点:此类接入方式学校的原互联网业务和专网业务统一由区县教育局的防火墙集中代理进行,方便县(区)教育局对互联网和专网的管理,同时,学校不需添加任何设备,每一台主机可以同时访问基础教育专网和互联网的资源。
缺点:此种方式对区县教育局端的设备和带宽要求比较高,需区县教育局增加投入,区县教育局端管理任务较大;另外,在方式一中如果学校没有代理上网设备时需要将学校内每台主机的IP地址统一更改为专网IP地址。
(二)第二类接入方式
对不具备第一类需求条件的县(区),辖区内学校首先通过电信线路接入互联网,在此基础上再接入基础教育专网。这种接入方式适合已经通过ADSL和光纤接入互联网的学校。
1.实现方式一
(1)实现模式
学校采用VPN拨号认证方式接入基础教育专网。学校局域网内需要接入专网的电脑发起专网拨号认证,建立到基础教育专网VPN隧道,自动获取专网IP地址。采用这种方式接入专网的电脑可实现专网和互联网的同时访问。模型图如下:(略)
(2)实现步骤
首先确保学校已经使用ADSL专线线路或光纤线路接入互联网。(用个人名义申请的学校使用的拨号ADSL线路必须更换为以单位名义申请的ADSL专线)。
在接入电信互联网基础上,学校根据需要访问基础教育专网的主机数量,向当地电信公司申请基础教育专网的拨号认证帐号,需要访问基础教育专网的主机在接通互联网的情况下在自己的操作系统上设置L2TP协议的VPN拨号软件。拨号认证成功后自动获取专网的IP地址,这时可以访问基础教育专网资源。在专网应用结束后中断拨号连接,返回互联网应用模式。
学校的出口设备必须允许局域网内的主机发起L2TP协议的VPN拨号(打开相应端口)。
(3)优缺点
优点:这种方式学校局域网内的所有主机IP地址现状不受影响,现有互联网应用不受影响。此接入方式只需学校主机进行拨号认证软件设置,不需要学校在目前的基础上增加任何投入即可接入专网,并且不会影响学校已有的互联网应用(如学校网站等),只需以个人名义登记上网的学校更改为单位用户即可。
缺点:每次上专网需拨号认证(可通过设置自动拨号解决)。
