对宽带接入市教育城域网的实践及思考.doc

对宽带接入市教育城域网的实践与思考 深圳市教育城域网主干链路调试运行正常，作为市教育城域网DPT主干接点之一的宝安接点的调试也在密锣紧鼓地进行，但在接入调试过程中遇到一些普遍性问题，情况如下： 宝安接点的调试情况 4007的配置： Vlan名称 网段 网关 Manage 172.30.100.0/24 Ehall2 172.20.0.0/24 172.20.0.254/24 PcRoom1 172.21.0.0/24 172.21.0.254/24 Teacher 172.22.0.0/23 172.22.0.254/23 Student 172.23.0.0/24 172.23.0.254/24 NetCenter 172.24.0.0/24 172.24.0.254/24 Ehall1 172.25.0.0/24 172.25.0.254/24 Pcroom2 172.26.0.0/24 172.26.0.254/24 Cernet 210.39.43.128/27 210.39.43.129/27 Man 10.16.21.0/24 218.192.243.2/30 调试一： 把4007的默认路由从172.24.0.100/24走，即宝安接点目前一直在使用的接法，这样218.192.243.2/30的路由是不通的，CERNET分配给我们的IP地址210.39.43.128/27在不增加设备的情况下就谈不上正常使用。 调试二： 把4007的默认路由从218.192.243.1/30走，那么CERNET分配给我们的IP地址210.39.43.128/27就能正常使用，一切测试正常；但是我们内部的172.X.X.X/X段的内部地址的就不能全部接出到INTERNET。当然，我们可以用现成的防火墙设备对172.X.X.X/X段的IP做NAT成为210.39.43.128/27段的合法CERNET IP地址来使用，但对我们划分了多个VLAN网段的大型局域网络来说，这种NAT的解决方法只能对其中的一个VLAN有效。这样就影响了我们现有网络的使用  调试三：（目前使用的情况） 综上所述，我们使用的是企业级的3层交换机3COM 4007，调试一用到的是设备的三层交换功能；调试二用到了三层交换功能和外接路由功能。要很好地保证我们现有的网络使用，又能把深圳市教育城域网的网络接入使用起来，就必须添加第三方的路由器设备。这样的话，我们就可以让3COM的4007保持我们的网络现状来使用，只不过把172.X.X.X/X段的内部地址全部使用4007的三层交换和防火墙的NAT功能把出口转到210.39.43.128/27的一个IP，让现有网络接入CERNET。218.192.243.2/30和210.39.43.129/27的路由功能由路由器来实现，我们只需要再提供一个简单的二层设备把210.39.43.128/27段的IP接入，并把它们的网关指向210.39.43.129/27就能实现。调试四： 在调试三的基础上把防火墙的非信任端口接入CERNET的二层交换机端口中，让校内其它网段通过防火墙的NAT功能转换成CERNET的IP出去，这样全校的设备都能用上CERNET。但我现有的网络出口资源浪费了；CERNET和CHINANET之间的网络瓶颈问题又导致了广大老师反映上网速度慢，因为大多数用户较常去的地方还是CHINANET居多。 所以我们现在还是两网同时运行（调试三），据了解其他区的接入单位也有这样使用的。几点思考 基于以上调试情况，全深圳市的教育单位，如想通过深圳市教育城域网很方便的接入使用CERNET的话，很有可能都会碰到我们宝安接点的问题。因为，各接入单位使用设备考虑的较高级别就是三层交换和NAT技术，其他接入单位的网络设备现状都和宝安中学接点差不多，或者更差。各个单位在接入深圳市教育城域网的过程中，必须明确以下几点： CERNET点对点接入IP对学校核心交换设备的要求 从以上的各种接入方式的调试看，CERNET点对点IP要求接入单位的核心交换机必须带第三层交换功能，即使起用CERNET的218的IP，也需在核心交换设备或路由设备上做两级路由设置。 从宝安区建网的100多所学校看，具有三层交换功能的核心交换机的学校未占50%（相信其他区也有相同状况），今后的接入，增加设备是必不可少。 关于大型局域网单位对接入DPT环路的设备需求 对于宝安中学这样具有大型局域网的学校，虽具有带第三层交换的核心交换机，但对于多VLAN段的局域网来说，通过NAT技术，CERNET的点对点IP还是未能解决全部VLAN段的路由出口问题，必须添加相应的硬件路由设备。 从宝安区的100多所建网学校看，具有硬件路由设备的学校