[发明专利]双出口模式的教育城域网系统

说明书

技术领域

本发明涉及教育城域网，尤其涉及一种双出口模式的教育城域网系统。

背景技术

教育城域网最早采用的是集中出口的模式。以电教馆1(教育信息中心)作为网络中心，下属学校2统一连接到电教馆1的区块12，以电教馆1为网络出口，通过电教馆1与Internet的互联，实现下属学校2之间的互相访问以及下属学校2对Internet的访问。采用集中出口的模式方便了管理，但对电教馆1的管理压力和网络出口压力很大。

集中出口对于电教馆中心的设备要求较高，作为城域网最核心的部分，中心需要性能和稳定性较高的设备，并且需要进行对设备进行冗余备份，保证中心能够提供稳定可靠的服务。集中出口的模式可以实现城域网的集中管理，有较高的安全性，对下属学校的集中控制力度更大。

电教馆中心的设备要求是需要两台防火墙123，一台实现与下属学校2的连接，保证下属学校2上来的流量不会威胁到中心网络的安全。另外一台要作为中心的出口屏障，保证中心访问互联网的安全。需要两台核心交换机121作为整个教育城域网的数据交换中心，充分保证下属学校能够快速的访问内网资源和访问Internet。两台设备负载进行均衡冗余备份，在出现故障的时候能及时启动备份设备，不会出现全网瘫痪。网络出口引擎122需要高性能，并且需要冗余两台出口引擎，因为教育城域网的内部用户访问互联网时，对出口设备的NAT性能要求很高，要保证出口的畅通无阻，并且数据要快速转发。

集中出口模式的优势可以对下属学校进行了集中管理，包括城域网资源的访问，对Internet的访问。随着近几年学校数量和规模的增大，弊端也日益显现，电教管中心的压力很大。作为全网的中心，中心一旦出现问题，会导致严重的后果，所以对设备的要求很高，需要做好冗余备份。在这种情况下，经过几年的改造和摸索，双出口模式的教育城域网日益形成。

发明内容

本发明要解决的技术问题是现有的出口模式会导致电教馆的管理压力和网络出口压力过大。

为了解决这一技术问题，本发明提供了一种双出口模式的教育城域网系统，包括本级信息中心和至少一个下属模块，所述本级信息中心包括中心模块和中间通信模块，所述中心模块与所述中间通信模块通信，所述中间通信模块还与外部网络和上级信息中心通信；

所述下属模块分别通过第一链路与所述中间通信模块连接，通过第二链路与外部网络连接，所述第一链路通过VPN与所述中间通信模块连接；所述下属模块进一步被配置成：

仅当所述下属模块访问城域网时，所述下属模块的流量才能够通过所述第一链路和VPN流入所述中间通信模块，实现域网出口通信；当所述下属模块访问外部网络时，流量直接从所述第二链路流入所述外部网络连接，从而实现外网出口通信。

可选的，所述中心模块至少包括服务器群和交换机，所述服务器群通过所述交换机与所述中间通信模块连接。

可选的，所述中心模块还包括存储子模块，所述存储子模块与所述服务器群连接。

可选的，所述中间通信模块包括双交换机子模块和网络出口引擎，所述双交换机子模块分别连接所述网络出口引擎、中心模块和下属模块，所述网络出口引擎与外部网络和上级信息中心通信。

可选的，所述中间通信模块经一个防火墙连接至外部网络和上级信息中心。

可选的，所述VPN经一个防火墙连接至所述中间通信模块。

可选的，所述防火墙具备上网行为管理和流量控制的功能。

可选的，所述上网行为管理的功能至少包括了URL地址过滤的功能。

可选的，所述下属模块包括出口路由器，所述出口路由器分别连接所述VPN和外部网络。

可选的，所述出口路由器具备上网行为管理和流量控制的功能。

可选的，所述上网行为管理的功能至少包括了URL地址过滤的功能。

本发明采用了双出口模式，其中，每个下属模块即一个下属学校，每个学校有两条线路，一条是通过第二链路直接访问互联网，一条是通过第一链路和VPN连接城域网专线，连接电教馆中心，即本级信息中心，实现城域网教育资源的访问。对于本级信息中心而言，学校接入端只有访问城域网资源的时候才会有流量流入城域网，学校进入Internet的时候直接从本地出口上因特网，城域网中心的流量压力会相对减少很多。

附图说明

图1是现有技术中集中出口模式的教育城域网系统；

图2是本发明一实施例中双出口模式的教育城域网系统的示意图；