东方联华EPON校园网解决方案

　 校园网的建设是推进素质教育、迎接知识经济时代的需要。在跨世纪教育改革中，世界各国都在加快教育现代化的步伐，其信息化程度的高低已成为当今世界衡量一个国家综合国力的重要标志。要想把我国的教育信息化变革速度加快，就要将学校教育同家庭教育、社会教育，尤其是大众传播媒介的隐性教育融为一体，实现教育中人力、物力资源的多层次开发和合理配置。而运用现代教育技术建设校园网，营造清新的校园网络文化氛围就是从根本上落实教育的战略地位，解放教师的生产力和师生的创造力，为现代教育增添创新优势。建设一个高质量、高带宽、多服务、范围广的整体教育综合信息网络势在必行。

　　早期的校园网只是共用内部教育系统主机资源，共享简单数据库，多以二层交换为主，很少有三层应用，网络安全存在问题，不具备增值管理能力。现在校园网建设要实现内部全方位的数据共享，应用三层交换，提供全面的QoS保障服务，使网络安全可靠，从而实现教育管理、多媒体教学、图书馆管理自动化，而且还要通过Internet实现远程教学，提供可增值可管理的业务。校园网的建设是为教学应用服务的，网络的性能直接会影响应用系统的运行。

　　二、东方联华解决方案

　　网络中心建设

　　将整个网络分为三个层次，核心交换层、汇聚层、接入层。

　　从核心交换机到教学/办公/实验/科技楼、教工/学生宿舍楼、图书馆、多媒体教室/视频会议室等的汇聚层交换机以及Web/Mail/FTP/DNS服务器的连接均采用1000M光纤或100M快速以太网连接。从汇聚层、接入层交换机到PC机的连接提供10/100M的带宽。

　　校园网通过核心交换机接入Cernet教育网，再通过Cernet与国内外其它网络相连接。

　　网络中心路由器选择3660模块化路由器，负责校园网Internet接入以及分校区或其他研究单位的专线接入。

　　Internet接入

　　校园网是通过Cernet接入Internet。Cernet的唯一出口是在清华大学，所以网络非常拥塞，访问数据的速度极慢。为了解决上网速度问题，可以向电信租用一条ADSL或2M E1或DDN专线，作为学校内部访问Internet的一个出口，专门提供学校师生上网服务。

　　3600、2600、1700系列模块化路由器均可用于Internet接入，其中3660处理能力可达50～60Kpps，适合于大中型网络，1700系列处理能力可达10Kpps，适合于小型网络，2600系列介于3600、1700系列之间，适合于中小型网络。

　　东方联华模块化路由器提供种类丰富的模块适于各种线路连接，支持10/100BASE-TX、100BASE-FX以太网模块可以接入10/100M宽带光纤线路，支持PPPoE可以接入ADSL专线，支持E1 G.703接口可以接入2M E1专线，支持高速串口可以接入DDN专线，等等。

　　NAT网络地址翻译技术

　　NAT在网络极度增长可用IP地址空间越来越少的今天是一个十分有效的节约IP地址的技术，同时，由于隐藏了内部网络，它也提供了一定的安全保护。模块化路由器支持静态NAT、动态NAT、端口PAT，可以满足所有的Internet访问需求。校园内部网访问Internet由端口PAT、动态NAT来实现，内部网对外提供WWW等服务由静态NAT来实现。

　　网络安全

　　网络安全包括校园内部网与Cernet、Inernet之间的安全性，校园网络中心与各分校区通过公网连接的安全性，以及校园内部网各研究院、系之间的安全性。

　　校园内部网与Cernet、Internet外部网之间的安全性：

　　如校园网综合应用网络图所示，可以在核心交换机与Cernet以及3660 Internet接入路由器之间放置专用的防火墙。除此之外，3660路由器采用NAT技术也具有很高的安全性，采用NAT网络地址翻译，隐藏了内部网络，外部网无从访问内部网。

　　校园网络中心与各分校区之间通过Internet连接的安全性：

　　接入方案二中有较为明确的描述，路由器支持IPSec、GRE从而保证网络中心局域网与各分校区局域网之间的互相访问的安全性。

　　校园内部网各研究院、系之间的安全性：

　　东方联华路由器支持IEEE 802.1Q VLAN技术，在路由器、以太网交换机上划分多个VLAN，不同VLAN之间的互相访问必须通过路由器或三层交换机来进行，然后在路由器或三层交换机上设置访问列表禁止或允许部分VLAN之间的访问。因此，VLAN的划分与路由器、交换机访问列表一起提供了极高的安全性。

　　路由器支持基于源目的IP、协议（IP/ICMP/IGMP/TCP/UDP/OSPF等）、端口号以及时间段的访问列表控制策略，可以根据实际情况灵活地配置。

　　PSTN、ISDN拨号用户访问校园网络的安全性：

　　在校园网络中心东方联华3660路由器可以对PSTN、ISDN拨号上来的用户进行PAP、CHAP身份验证，只有授权的用户才能够访问校园内部网络。

　　东方联华路由器本身的安全性：

　　路由器是网络数据传输的关键，因此路由器本身的安全性极为重要。东方联华路由器支持命令分级保护，支持认证、授权、计录（AAA，Authentication、Authorization、Accounting）功能，可以对登录到路由器上的用户进行认证、授权，不同授权级别的用户对路由器的配置权限也不同，级别低的用户只能进行少部分的操作。

　　网络管理

　　网络管理是网络组建中不可缺少的重要组成部分。一个良好的网络管理系统可以帮助用户在很大程度上优化网络结构、预防和及时排除故障，减少网络的维护费用。

　　路由器支持SNMP简单网络管理协议，可通过各种通用网管软件（如SNMPc、HP OpenView、CiscoView、CiscoWorks 2000）对路由器进行监控、管理和配置。模块化路由器兼容CDP协议，东方联华公司提供了与OpenView集成的网络管理工具RouterView，在OpenView中，路由器支持网络拓扑结构图的自动生成，并能够通过集成的RouterView显示路由器的背板图，很直观地监视和控制各个端口的状态和统计信息。

　　此外，东方联华路由器支持Telnet、HTTP，可以通过Telnet、Web页面等方式对路由器进行远程配置。