南京教育城域网、安徽铜陵教育城域网宽带接入及VPN互联
校园网建设和校校通工程的建设一直是教育信息化的重点。如何实现学校互联网接入的同时,采用廉价的互联解决方案,实现资源共享?南京教育城域网和安徽铜陵教育城域网的解决方案值得推广,非常具有参考价值。
需求分析:
南京教育城域网与安徽铜陵教育城域网的方案非常类似。需求也非常类似。各市均有千所以上的中小学,各学校校园网已经有一定的基础,但是各学校之间都没有实现互联,不能够资源共享;同时也还没有接入Internet,有个别学校通过代理服务器上网,上网性能很差,而且不稳定,这些问题急需解决。
学校需求如下:
学校均通过一根10M的光纤接入Internet
学校WWW主页对外发布
所有学校与教委之间的互通,实现资源共享
教师在家办公,远程拨号接入校园网
网络具有可扩展性,要求考虑VoIP和视频流扩展应用
方案解析:
网络建设思路
教委和所有中小学都向运营商申请10M或者100M的以太网光纤,搭建教育城域网。在教委中心机房建设IDC,设有课件服务器、主页服务器、视频点播服务器等。在中心机房使用已购买的CISCO3662路由器,用作VPN网关,可同时满足上千条IPSec的连接,同时兼路由分配的功能,为每个学校分配一段合法IP地址。同时,选用一台神州数码DCR-3660路由器,配置了快速以太网模块MR-NM-1FE-TX,及MR-NM-8ASY模块,用作拨号接入。
各学校选用神州数码DCR-1720路由器,配置了以太网接口卡MR-WIC-1ETH。主要用NAT实现所有教师和学生访问Internet的需求,同时使用路由器自带的VPN功能,实现与教委VPN的互联,实现资源共享。
网络拓扑如下图所示。
方案特点:
1、上网和VPN互联的经济性
用DCR1720路由器代替代理服务器,提高学校上网的稳定性;同时,通过NAT的静态转换功能,可实现WWW主页的发布;DCR1720支持MR-WIC-8ASY模块,可轻松实现教师在家办公时的远程拨号接入。对于学校之间以及和教委之间互联,采用VPN功能,通过IPSec实现学校与教委的互联。神州数码的路由器目前支持IPSec和GRE以及L2TP协议,实践证明,DCR1720的VPN功能和CISCO的设备兼容性非常好。
2、高安全性
每个学校购买一台硬件防火墙,投资非常可观。神州数码DCR1700模块化路由器内置防火墙功能,具备极高的安全性:
神州数码路由器包过滤功能非常丰富,支持标准和扩展的访问控制列表功能,能够根据地址、协议、断口、服务以及时间段进行安全控制;能够实现强大的VPN(虚拟专用网)功能,可以在公共的网络中实现专有网络的应用,支持IPSec和GRE等方式的VPN,并且支持硬件加密功能。提供的服务有:加密、验证和数据完整性的保护、抗重播,可以抵抗拒绝服务攻击。支持IPSec、IKE、DES、3DES、MD5、SHA、AH、ESP、IKE、ISAKMP、Oakley、Skeme、Diffie-Hellman等算法和标准;NAT功能,一方面解决了合法地址的数量限制问题,另外则实现了一定程度的安全性,帮助用户隐藏了内部的拓扑结构。
支持AAA认证功能,可以做路由器的本地认证和Radius以及Tacacs认证。
3、多业务综合应用
神州数码的模块化路由器均支持VoIP和QoS功能,可以保障语音电话的应用。同时支持PIM、IGMP、DVMRP等组播协议,非常方便视频流的开发应用,可以实现组播、VOD、视频会议、远程教学等,并可以实现单向应用和交互式应用。路由器支持802.1Q功能,满足原有网络中划分了VLAN间的互通,实现不同VLAN间的互通。
神州数码路由器支持SNMP网管和Log日志功能,这样既可以远程管理,而且也可以记录各种安全信息。
