一、 需求分析

　　在安徽铜陵地区有几十所中小学，各学校校园网已经有一定的基础，但是各学校之间都没有实现互联，不能够资源共享；同时也还没有接入Internet，有个别学校通过代理服务器上网，上网性能很差，而且不稳定，这些问题急需解决。 目前城域网已经建设成功，在城域网中申请一条10M的以太网光纤，用户投入的成本并不高，所以对于各学校来说是个很好的机会，学校的联网要求如下：
　　每个学校都申请了一个10M的光纤线路
　　要实现所有学校以及教委之间的互相访问
　　学校要接入Internet
　　有的学校有WWW服务器需要对外发布
　　要保证安全性
　　需要路由器支持VLAN，保证学校的各个部门都可以上网
　　网络具有可扩展性，不排除将来会使用语音（VoIP）的可能

二、 方案概述

网络建设原则

　　1、 易用性：对用户来讲，使用非常容易，不会带来很大的学习挑战，很容易维护。
　　2、 安全性：由于税务系统的特殊性，要求绝对保障安全性
　　3、 标准性、兼容性：设备符合各种标准，和其他厂家的设备有着良好的兼容性，如果将来网络中有其他设备进入，不会出现无法使用的情况。
　　4、 可扩性：容易扩展新的应用和需求
　　5、 可升级性：如果要求对系统升级，可以低成本平稳升级
　　6、 稳定性：一定要保障系统运行的稳定性
　　7、 全面性：提供全方位的解决方案

网络建设思路

　　几个教委和所有中小学都申请了10M或者100M的以太网光纤，在教委使用了DCR-3660路由器，配置了快速以太网模块MR-NM-1FE-TX，下面的所有学校都使用了DCR-1720路由器，配置了以太网接口卡MR-WIC-1ETH。DCR-3660预留了4个网络插槽，DCR-1720预留了1个接口卡插槽，将来如果需要扩展或者有新的应用都很容易升级扩展。

　　由于需要接入Internet，就需要使用NAT地址转换功能，发布WWW服务器需要使用静态地址转换；对于学校之间以及和教委之间互联，就使用VPN功能，推荐使用IPSec，它是IP安全的标准，它支持很多协议和很多的算法。DCR-1700/2600/2800/3600路由器目前支持IPSec和GRE以及L2TP协议，和CISCO的设备兼容性非常好。

　　对于安全性的考虑可以通过路由器的防火墙功能，如果需要更高的安全性可以配备专门的防火墙设备。

　　如果学校有很多的部门，或者在原来的网络中划分了VLAN，他们都需要通过路由器实现接入Internet，DCR-1700/2600/2800/3600路由器支持802.1q协议，可以保证所有网络上网。

　　考虑到将来有可能存在语音（VoIP）需求，这样需要路由设备支持VoIP功能，并且预留配置语音模块的插槽。DCR-1700/2600/2800/3600系列路由器完全可以实现语音功能，在本方案中也考虑到了语音功能能扩展的需求。

拓扑结构图

方案说明

　　上面的网络设备互连方案完成了用户的所有需求，并且按照本方案建设的原则，实现了一个经济的为用户量身定制的方案。具备很好的可升级性和可扩展性。

三、方案的特点

1、高安全性

　　DCR-1700/2600/2800/3600系列模块化路由器具备极高的安全性，能够实现强大的VPN（虚拟专用网）功能，可以在公共的网络中实现专有网络的应用，支持IPSec和GRE等方式的VPN，并且支持硬件加密功能。提供的服务有：加密、验证和数据完整性的保护、抗重播，可以抵抗拒绝服务攻击。支持IPSec、IKE、DES、3DES、MD5、SHA、AH、ESP、IKE、ISAKMP、Oakley、Skeme、Diffie-Hellman等算法和标准；
　　具备防火墙的功能，采用包过滤机制通过访问列表来实现防火墙的安全控制，支持标准和扩展的访问控制列表功能，能够根据地址、协议、端口、服务以及时间段进行安全控制；
　　支持地址转换（NAT）功能，一方面解决了合法地址的数量限制问题，另外则实现了一定程度的安全性，帮助用户隐藏了内部的拓扑结构；
　　支持802.1q VLAN，可以控制VLAN之间的互相访问；
　　支持AAA认证功能，可以做路由器的本地认证和Radius以及Tacacs认证；
　　支持SNMP网管和Log日志功能，这样既可以远程管理，而且也可以记录各种安全信息。

2、高性能

　　此路由器性能高，DCR-2650的包转发能力可以达到20-40Kpps；DCR-1700系列路由器的包转发能力可以达到8-20Kpps，其中DCR-1700/2600/2800/3600系列的模块化路由器的内存和Flash都是可以扩展的，以便提供更高的性能。

3、多业务综合

　　在这个网络系统中，可以实现多种业务的集成，既可以传输常用的统计数据，也可以开通IP电话，这种模块化路由器均支持VoIP和QoS功能，可以保障语音电话的应用。同时支持Multicast和IGMP等组播功能，对视频有着很好的支持，可以实现组播、VOD、视频会议、远程教学等，并可以实现单向应用和交互式应用。这样的网络系统在国内目前都属于先进的。

4、扩展性强

　　在上面的方案中，分支节点的DCR-1720和DCR-3660都有剩余扩展插槽可用，这为以后的应用提供了扩展的可能，而且也可以通过更换一些更高密度的模块来实现扩展，具备很强的扩展性。

5、兼容性好

　　以上所采用的网络产品支持各种协议标准，和CISCO等众多厂家的兼容性非常好。调试和安装均比较容易。

6、稳定可靠

　　DCR系列模块化路由器支持HSRP，可以实现冗余；支持多种备份功能，支持路由协议热备份功能，支持端口备份功能，独特的是对交换网络的备份功能，交换网络一般是指X25、FR（帧中继）、ATM等网络，这种网络的一个特点是有两种设备，端设备和网络交换设备。规程也分用户到网络的规程和网络到网络的规程。而路由器更多的应用是实现用户到网络的规程，它作为端设备。所以路由器和对端设备通信不是直接的，而是通过网络交换机来实现的，分别是X25交换机、FR交换机、ATM交换机。当然他们都有各自的实现方法。在这种网络中路由器只检测和维护自己和交换机之间的链路状态，而不会检测对端路由器和交换机之间的链路是否正常，所以如果对端路由器和交换机之间的链路出现故障，一般本地路由器是不知道的，根本不会去启动备份链路。这时候就出现了通信不能正常进行，备份链路又无法启动的情况。

　　此路由器就针对X25、FR、ATM交换网络专门做了备份方案，它同样能够检测对端路由器和交换机之间的链路状态，在出现问题的时候，同样可以正常切换到备份链路。当然交换网络的备份也是支持拨号备份和热备份的。热备份同样支持各种路由协议的组合。

7、整体解决方案

以上设备建议全部同家网络公司的产品，这样就不存在任何的兼容性等的问题，整体融合能力强。