shanxi.docx

1、shanxi陕西省基础教育专网建设接入工作实施细则为加快推进陕西省基础教育专网建设工作，更好的指导各地区进行专网建设，确保按时完成基础教育专网建设任务，省教育厅以陕西省基础教育专网建设实施方案（以下简称实施方案）为基础，总结前期试点工作经验，并结合我省实际情况，特制定陕西省基础教育专网建设接入工作实施细则（以下简称实施细则）。附件：一、基础教育专网IP地址规划为便于基础教育专网的网络及业务平台的管理和升级。现对陕西省基础教于专网业务平台IP（即各级教育机构网站及业务平台使用的IP地址）及业务使用IP地址（即各级教育机构终端使用的IP地址）进行整体规划。（一）业务平台IP分配方案1.教育厅中心平

2、台系统采用教育厅业务管理平台10.10.0.0 -10.10.255.255(10.10/16 prefix)，其中10.10.0.0-10.10.31.0预留给省教育厅中心平台和各地市教育局平台内部使用，共32个A。2. 专用DNS服务器地址分配：为便于记忆，将两台DNS服务器专网IP地址分别设为：10.10.1.4和10.10.1.9。3. 每个市（区）分配2个A地址，省教育厅中心平台占2个A地址，全省10个市区加省厅平台，共用22个A地址，剩余地址留为备用。各市（区）业务管理平台服务器专网IP地址分配如下：4. 各市县网站及业务管理平台的专网IP地址由当地电信负责分配，报省、市电教馆备案

3、。5 各市级资源网服务器（部署在各市教育局机房或电信机房）专网IP地址分配情况见附表1。（二）终端用户IP地址分配方案各级教育机构终端计算机使用的IP地址建议采用B类私网地址，再进行子网划分，这样以来既有充足的IP地址可用，保证所有终端有IP地址可用，为以后扩容留下足够的空间，也易于实现路由聚合，发布较少的路由信息去其他网络。各市分配的终端IP地址区间如下表，各县的终端IP地址区间由市级统一分配，并报省电教馆备案。地市起始结束地址段西安172.0.0.0172.127.255.255128渭南172.128.0.0172.143.255.25516咸阳172.144.0.0172.159.25

4、5.25516延安172.160.0.0172.175.255.25516安康172.176.0.0172.183.255.2558铜川172.184.0.0172.187.255.2554商洛172.188.0.0172.195.255.2558宝鸡172.196.0.0172.219.255.25524汉中172.220.0.0172.231.255.25512榆林172.232.0.0172.255.255.25524二、基础教育专网接入方式制定原则：一是不增加学校设备投入；二是方便学校在现有网络基础上选择不同方式接入基础教育专网；三是确保学校在访问专网的同时不影响其互联网的使用。（一）

5、第一类接入方式针对县（区）教育局有统一互联网和专网出口管理需求的情况，可采用第一类接入方式。1实现方式一辖区内学校首先通过电信线路接入基础教育专网，在此基础上，接入专网的学校可通过县教育局的代理设备访问互联网。该方式下，学校主机直接通过电信线路接入基础教育专网，学校使用由教育局主管部门和当地电信公司共同管理分配的专网IP地址。模型图如下：（1）访问互联网：用户访问互联网的需求通过县教育局防火墙集中NAT转换代理上互联网。（2）访问专网：对于有路由器、防火墙和代理服务器设备的学校，学校内部主机IP地址可不做调整，电信公司和教育局管理部门只需给学校分配一个专网IP，学校通过可通过代理上网设备集中N

6、AT转换代理上专网；无代理上网设备的学校，学校主机使用由教育局主管部门和当地电信公司共同管理分配的专网IP地址，直接成为基础教育专网的网内主机，直接与专网连接。2.实现方式二在县级设备上增加专网出口，并单独接一根专网线路，在出口防火墙设备上做路由和双NAT转换，这种方式保持可保持区县和学校原有IP地址规划不变，区县和学校也不用添加任何硬件设备，由区县统一互联网出口和专网出口，学校可以同时访问互联网和专网资源。3.实现方式三各接入学校在县级统一接入互联网的基础上，申请一定数量的专网接入账号，接入专网的电脑安装虚拟拨号软件，并拨号建立VPN隧道后访问专网资源，这种方式可以保证原有学校和区县的已有I

7、P地址规划不变，由区县统一互联网出口，各学校单独接入专网，学校可以同时访问互联网和专网资源。 4.优缺点优点：此类接入方式学校的原互联网业务和专网业务统一由区县教育局的防火墙集中代理进行，方便县（区）教育局对互联网和专网的管理，同时，学校不需添加任何设备，每一台主机可以同时访问基础教育专网和互联网的资源。缺点：此种方式对区县教育局端的设备和带宽要求比较高，需区县教育局增加投入，区县教育局端管理任务较大；另外，在方式一中如果学校没有代理上网设备时需要将学校内每台主机的IP地址统一更改为专网IP地址。（二）第二类接入方式对不具备第一类需求条件的县（区），辖区内学校首先通过电信线路接入互联网，在此基

8、础上再接入基础教育专网。这种接入方式适合已经通过ADSL和光纤接入互联网的学校。1实现方式一（1）实现模式学校采用VPN拨号认证方式接入基础教育专网。学校局域网内需要接入专网的电脑发起专网拨号认证，建立到基础教育专网VPN隧道，自动获取专网IP地址。采用这种方式接入专网的电脑可实现专网和互联网的同时访问。模型图如下：（2）实现步骤首先确保学校已经使用ADSL专线线路或光纤线路接入互联网。（用个人名义申请的学校使用的拨号ADSL线路必须更换为以单位名义申请的ADSL专线）。在接入电信互联网基础上，学校根据需要访问基础教育专网的主机数量，向当地电信公司申请基础教育专网的拨号认证帐号，需要访问基础教

9、育专网的主机在接通互联网的情况下在自己的操作系统上设置L2TP协议的VPN拨号软件。拨号认证成功后自动获取专网的IP地址，这时可以访问基础教育专网资源。在专网应用结束后中断拨号连接，返回互联网应用模式。学校的出口设备必须允许局域网内的主机发起L2TP协议的VPN拨号（打开相应端口）。（3）优缺点优点：这种方式学校局域网内的所有主机IP地址现状不受影响，现有互联网应用不受影响。此接入方式只需学校主机进行拨号认证软件设置，不需要学校在目前的基础上增加任何投入即可接入专网，并且不会影响学校已有的互联网应用（如学校网站等），只需以个人名义登记上网的学校更改为单位用户即可。缺点：每次上专网需拨号认证（可

10、通过设置自动拨号解决）。2实现方式二（1）实现模式目前已经使用电信光纤线路接入互联网的学校，如出口设备支持双业务VLAN及代理功能的学校，可以通过设置出口设备，开通双业务VLAN，实现单条线路同时承载互联网和基础教育专网（双网）的方式。（2）实现步骤首先要求学校出口设备的出口端口上具备区别两个以上不同业务VLAN（或者子接口）的功能，且设备具备代理功能，能代理专网内的主机上互联网。然后学校需要向当地电信公司提出接入基础教育专网的业务申请，选择采用单线路承载双业务VLAN的方式。当地电信局受理后，为学校分配专网的IP地址和VLAN号。但是学校的接入时间和割接方案需要电信局和学校共同协商决定。在学

11、校确定接入专网时间后，通知当地电信局，在同一个时间点上，电信局修改局端设备的端口接入模式，实行单线路承载双业务VLAN，学校根据电信分配的专网IP和VLAN号，修改出口设备的端口工作模式，在出口设备的端口上配置两个VLAN绑定不同的IP子网，并且修改局域网内的主机地址为专网的IP地址。（3）优缺点优点：此接入方式可以不增加学校投入，且不需拨号认证即可上专网。缺点：需要学校端目前已有的接入设备（防火墙或路由器）支持双业务VLAN功能，且要将学校内部主机的IP地址全部更改为专网的IP地址，并由电信统一分配VLAN号，否则无法实现。采用该方式电信侧和学校侧的设备端口数据均要修改，学校的IP地址必须要

12、从新规划，所以学校的业务要受到影响。建议由学校和当地电信首先进行测试后（确认学校设备功能），共同确定业务割接方案，实施接入。（三）第三类接入方式对于学校网络业务需求复杂多样，校园局域网规模较大的情况，学校可直接通过网络扩容方式接入基础教育专网。1实现方式学校单独申请一根专网线路接入基础教育专网，和现有的互联网接入物理分开，原有互联网应用和IP地址不变，访问基础教育专网的电脑需配置专网IP地址，通过专线访问基础教育专网。模型图如下：2优缺点优点：学校原有的网络应用和IP地址不受影响，通过专线访问专网可保证网络速度和质量。缺点：学校需承担第二根线路的费用，访问基础教育专网的电脑需更改为专网IP地址

13、。三、高中接入专网要求高中学校接入专网，根据本校网络实际，参照上述“基础教育专网接入方式”，在2009年11月底之前完成接入工作。1、试点地市：咸阳、汉中、西安，根据本校网络实际，可以参照“基础教育专网接入方式”中的三种方式接入；2、非试点地市：可先采用拔号的方式进入教育专网，学校内部网络结构不进行任何改变。VPN帐号及密码由各市教育局和当地电信公司负责分配，接入技术由当地电信公司负责技术支持。对于所在地区有统一专网出口要求的非试点地市的学校，待该地市专网骨干网络建设完成后，参照“基础教育专网接入方式”更改该学校的专网接入方式。四、申报流程学校专网接入申报流程：1由学校向区县电教部门提出申请，

14、并填写陕西省基础教育专网开通申报表（见附表2），市直属学校向市电教馆申请。2学校的接入申请经电教部门审核批准后，由电教部门向当地电信基础教育专网客户经理提出专网接入要求。3当地电信公司在接到用户专网接入申请后，根据不同的接入方式，分别给予处理： （1）对于第一类方式（县区统一出口）接入的学校，电信公司应在接到县区教育局的申报单后，在5个工作日内制定出详细的施工方案并报县区教育局，县区教育局审批后15个工作日内完成建设实施，使县区内学校统一接入专网。（2）对于第二类方式（学校单独出口）接入的学校，电信公司应在接到申报单后，在3个工作日内为学校制定出详细的施工方案，在学校同意该方案后2个工作日内完

15、成建设实施，使申报学校尽快接入专网。（3）对于第三类方式（学校要求扩容）接入的学校，电信公司应在接到申报单后，在3个工作日内为学校制定出详细的施工方案，在学校同意该方案后5个工作日内完成建设实施，使申报学校尽快接入专网。五、陕西省基础教育专网培训1为尽快开展专网应用工作，将对中小学校长和相关教师进行专网应用培训，专网应用培训由省教育厅联合中国电信陕西公司举办，以县为单位组织进行，时间根据各市、县教育局专网建设工作情况决定，三个试点市应在2009年12月中旬前完成专网应用培训工作。2专网应用培训参加人员为各县辖区内所有中小学校长和相关技术人员 。3. 专网应用培训主要内容为专网建设意义、功能及其

16、应用，并将对接入方式、应用平台进行重点介绍。附表1：各市级资源网服务器IP地址分配表各市区市级资源网服务器（部署在各市教育局机房或电信机房）IP分配序号市（区）专网IP操作系统部署内容软件需要使用服务及端口1咸阳10.10.4.27Windows2008资源网1Java,tomcat80、8080、3389、8443、6531、6666、8555、8580、8888、1002110.10.4.34Windows2008资源网2Java,tomcat80、8080、3389、8443、6531、6666、8555、8580、8888、100212延安10.10.18.27Windows2008资

17、源网1Java,tomcat80、8080、3389、8443、6531、6666、8555、8580、8888、1002110.10.18.34Windows2008资源网2Java,tomcat80、8080、3389、8443、6531、6666、8555、8580、8888、100213榆林10.10.16.27Windows2008资源网1Java,tomcat80、8080、3389、8443、6531、6666、8555、8580、8888、1002110.10.16.34Windows2008资源网2Java,tomcat80、8080、3389、8443、6531、6666、

18、8555、8580、8888、100214渭南10.10.8.27Windows2008资源网1Java,tomcat80、8080、3389、8443、6531、6666、8555、8580、8888、1002110.10.8.34Windows2008资源网2Java,tomcat80、8080、3389、8443、6531、6666、8555、8580、8888、100215商洛10.10.12.27Windows2008资源网1Java,tomcat80、8080、3389、8443、6531、6666、8555、8580、8888、1002110.10.12.34Windows200

19、8资源网2Java,tomcat80、8080、3389、8443、6531、6666、8555、8580、8888、100216安康10.10.10.27Windows2008资源网1Java,tomcat80、8080、3389、8443、6531、6666、8555、8580、8888、1002110.10.10.34Windows2008资源网2Java,tomcat80、8080、3389、8443、6531、6666、8555、8580、8888、100217汉中10.10.14.27Windows2008资源网1Java,tomcat80、8080、3389、8443、6531、

20、6666、8555、8580、8888、1002110.10.14.34Windows2008资源网2Java,tomcat80、8080、3389、8443、6531、6666、8555、8580、8888、100218宝鸡10.10.6.27Windows2008资源网1Java,tomcat80、8080、3389、8443、6531、6666、8555、8580、8888、1002110.10.6.34Windows2008资源网2Java,tomcat80、8080、3389、8443、6531、6666、8555、8580、8888、100219铜川10.10.20.27Windo

21、ws2008资源网1Java,tomcat80、8080、3389、8443、6531、6666、8555、8580、8888、1002110.10.20.34Windows2008资源网2Java,tomcat80、8080、3389、8443、6531、6666、8555、8580、8888、1002110西安10.10.2.27Windows2008资源网1Java,tomcat80、8080、3389、8443、6531、6666、8555、8580、8888、1002110.10.2.34Windows2008资源网2Java,tomcat80、8080、3389、8443、6531

22、、6666、8555、8580、8888、10021附表2：陕西省基础教育专网开通申报表学校名称（盖章）地址分管校长姓名电话已有IP地址网管人员姓名电话全校微机数已有域名 专网接入带宽接入专网微机数专网接入模式专网接入设备路由器（型号）防火墙（型号）代理服务器（型号）AD拔号学校校园网现状校园监控系统点数：需外网访问： 所需带宽： M电子巡考系统点数：需外网访问： 所需带宽： M视频会议系统点数：需外网访问： 开放端口号：其他应用系统点数：需外网访问： 开放端口号：电教部门意见：签章： 年 月 日电信公司回复： 签章： 年 月 日备注注： 1、专网接入方式应根据本校实际情况按陕西省基础教育专网

23、建设接入工作实施细则中的接入方式填写； 2、此表一式三份，学校、电教部门和电信部门各存一份。3、电信公司在回复意见时须写明接入时间和给vpn拨号用户分配的用户名和密码学校名称（盖章）地址分管校长姓名电话已有IP地址网管人员姓名电话全校微机数已有域名专网接入带宽接入专网微机数专网接入模式专网接入设备路由器（型号）防火墙（型号）代理服务器（型号）AD拔号学校校园网现状校园监控系统点数：需外网访问：所需带宽： M电子巡考系统点数：需外网访问：所需带宽： M视频会议系统点数：需外网访问：开放端口号：其他应用系统点数：需外网访问：开放端口号：电教部门意见：签章： 年 月 日电信公司回复：签章： 年 月 日备注注： 1专网接入方式应根据本校实际情况按陕西省基础教育专网建设接入工作实施细则中的接入方式填写； 2此表一式三份，学校、电教部门和电信部门各存一份；3电信公司在回复意见时须写明接入时间和给vpn拨号用户分配的用户名和密码。