清华大学局域网总体解决方案.docx
- 文档编号:23374590
- 上传时间:2023-05-16
- 格式:DOCX
- 页数:86
- 大小:83.27KB
清华大学局域网总体解决方案.docx
《清华大学局域网总体解决方案.docx》由会员分享,可在线阅读,更多相关《清华大学局域网总体解决方案.docx(86页珍藏版)》请在冰豆网上搜索。
清华大学局域网总体解决方案
清华大学紫荆学生公寓区
局域网总体设计方案
清华大学信息网络工程研究中心
二00七年五月
第一章总体设计概述1
1.1前言1
1.2紫荆学生公寓区项目概况1
1.2.1紫荆学生公寓各类户型网络信息点数1
1.2.2管理模式2
1.3校园网现状2
1.3.1全网统一的身份认证3
1.3.2办公系统3
1.3.3教务系统3
1.3.4数字图书馆4
1.3.5社区服务4
1.3.6人力资源、设备资产管理4
1.3.7财务系统4
1.3.8网络教学系统4
1.4总体建设目标4
1.5主要建设内容5
1.6总体设计原则6
第二章需求分析8
2.1概述8
2.2网络规模8
2.2.1物理范围8
2.2.2信息点数8
2.2.3入网计算机数8
2.2.4同时在线计算机数9
2.3应用需求9
2.4流量分析10
2.5带宽需求10
2.6地址需求10
2.7安全性需求10
2.8稳定性需求11
2.9可靠性需求11
2.10可扩展性需求11
2.11可管理性需求12
2.12兼容性需求12
第三章网络总体方案13
3.1概述13
3.2网络结构设计13
3.2.1区域划分13
3.2.2层次划分13
3.2.3层次定义和功能14
3.2.4拓扑结构设计15
3.3核心层设计16
3.4汇聚层设计17
3.5接入层设计17
3.6网络互联设计19
3.7VLAN设计19
3.7.1用户VLAN19
3.7.2管理VLAN20
3.8IP地址分配21
3.8.1IP地址总体需求考虑21
3.8.2网络地址21
3.8.3用户地址22
3.8.4预留地址22
3.8.5IP地址管理办法23
3.9路由设计23
3.9.1路由协议选择23
3.9.2路由协议配置23
3.9.3Metric设置25
3.9.4IP地址聚合26
3.10可靠性设计26
3.10.1设备可靠性26
3.10.2链路可靠性27
3.10.3路由可靠性27
3.11基本网络服务28
3.11.1紫荆公寓网络域名服务系统设计28
3.11.2邮件服务MailService30
3.11.3增值服务-组播服务30
3.12设备选型31
3.12.110G核心路由交换机31
3.12.2汇聚三层交换机35
3.12.3接入二层交换机38
第四章布线系统40
4.1概述40
4.2设计方案40
4.2.1设计依据40
4.2.2设计说明41
4.3产品选型41
4.3.1所选用光缆的特点41
4.3.2所选用光缆接续单元的特点44
第五章网络机房建设47
第六章网络安全48
6.1概述48
6.2主要安全威胁分析48
6.3紫荆公寓园区网安全设计原则51
6.4网络安全总体方案设计51
6.5身份认证系统52
6.6访问控制管理和防火墙系统53
6.7分布式入侵检测和流量监测系统54
6.8漏洞扫描系统55
6.9防病毒系统设计56
6.10综合安全监控系统57
6.11软件和设备选型57
6.12设备和系统报价清单57
6.13安全管理制度58
6.14用户培训60
第七章网络管理61
7.1概述61
7.2综合运行信息系统62
7.3分布式网络监控系统63
7.3.1故障监控63
7.3.2性能监控67
7.3.3拓扑和路由监控70
7.4网络运行中心系统73
7.5设备选型74
第八章用户管理75
8.1概述75
8.2清华大学“基于用户身份认证的安全计费系统”76
8.2.1功能76
8.2.2系统基本架构77
8.2.3基于用户计费的工作流程78
8.3802.1x80
8.3.1协议的开发背景80
8.3.2几个名词的定义80
8.3.3工作机制82
8.3.4IEEE802.1x协议的体系结构87
8.3.5IEEE802.1x协议的工作机制88
8.3.6协议实现内容92
8.3.7基本的认证过程95
8.3.8几个注意的问题96
8.3.9SNMP支持97
8.3.10802.1x存在的问题99
8.4系统设计100
8.4.1设计目标100
8.4.2设计思想101
8.4.3设计方案102
8.5设备选型104
8.5.1接入交换机104
8.5.2认证服务器104
8.5.3数据库104
8.5.4计费服务器104
8.5.5数据采集服务器104
8.5.6WEB服务器104
8.5.7DHCP服务器105
第九章设备选型106
第十章运行与维护107
第十一章工程进度及实施计划108
11.1工程进度108
11.2各期主要建设内容108
11.3实施办法与安排109
第十二章经费预算110
第一章总体设计概述
1.1前言
清华大学校园网自1985年开始自主研制成功了小型分组交换网DGCNET(DistributedGeneralComputerNetwork——分布式通用计算机网络)系统以来,经过近20年的不断努力,历经了自主研究开发(1985~1987)、早期TUNet、NCFC(1991~1996)、“泰山工程”一期(1996~1998)、“泰山工程”二期(1998~2002)、“985”二期(2003)五个发展阶段。
特别是在清华大学努力建设世界一流大学的¬近几年中,随着计算机和计算机网络及应用技术的飞速发展,清华校园网的网络设施建设和网络应用建设取得了突飞猛进的发展,始终走在全国高校的前列。
到2001年,校内包括本科生和研究生在内的全部学生宿舍就已经全部建成了千兆到楼的高速局域网。
现在计算机网络应用已经融会到了清华大学教学、科研和管理的各个方面。
已经通过校园网实际使用的主要系统有:
全网统一身份认证系统、办公系统、教务系统、财务系统、人力资源管理、设备资产管理、网络教学系统、数字图书馆、社区服务以及视频转播等等。
通过计算机网络不仅可以随时查阅遍布世界各地的大量信息资料,进行信息交流,而且越来越多的课程通过校园网下载讲义、上传作业。
校内办公信息已经全部采用网上发布的方式,财务报表和结算也是通过计算机网络完成。
在今天的清华大学,校园计算机网络已经成为不可或缺的一项基础设施,其重要性甚至超过了传统的电信电话。
紫荆学生公寓作为清华大学在校学生的主要集中居住地,其计算机网络设施实际上是一项必备的基础设施。
1.2紫荆学生公寓区项目概况
清华大学紫荆学生公寓位于清华大学清华园校区现有北围墙外的北侧,占地28.42公顷,区内建筑总面积约39万平方米。
建成后可容纳22400名学生入住。
区内网络布线除保证每个学生上网需要外,还需要给区内公建、辅助设施及管理人员留有足够的网络端口。
1.2.1紫荆学生公寓各类户型网络信息点数
整个紫荆学生公寓区内大约有25000个信息点,其中:
1.A01~A03信息点为:
3808个
2.A04~A13信息点为:
10128个
3.留学生公寓B01~B04信息点为:
2031个
4.继续教育学员B05~B06信息点为:
1022个
5.研究生公寓、继续教育学员公寓C01~C04信息点为:
5366个
6.管理用房其他辅助用房信息点为:
~200个
7.E01学生服务中心信息点为:
~1000个
8.E02学生活动中心信息点为:
~1200个
9.D01~D04食堂信息点为:
~200个
紫荆学生公寓区内建筑面积和人数分布表见附件一。
紫荆学生公寓区平面总图见附件二。
1.2.2管理模式
紫荆学生公寓区内的学生宿舍局域网建成后由清华大学计算机信息网络工程研究中心统一进行运行、维护、管理及监控。
紫荆学生公寓区内的网络总控中心设在学生服务中心内,面积约60㎡,预计2004年3月可建成。
2003年9月投入使用的A04~A13临时控制室暂设在学生宿舍31号楼内。
1.3校园网现状
清华大学校园网是世界规模最大的校园网之一,校园内光缆通达180座楼,700芯•公里,入网计算机30,000台。
随着用户规模和使用量的持续增长,清华大学正在进行新一代校园网规划建设,预计实现五项指标:
建立Lambda光传输网络,实现无阻塞IP网络,实现校园移动通信,提供IP电话、视频会议等公共多媒体服务,建立健全网络安全和运行管理体系。
在即将完成的第一期升级改造后,清华大学校园网的核心主干节点将达到6个,利用10GE技术连接成环,并设置两个专门用于支持学科建设的万兆汇聚点,万兆直连校园主干网。
整个校园网以多个千兆直连教育网。
清华大学同时也是我国下一代互联网交换中心DragonTAP所在地,连接了NSFCNET、教育网、CSTNET等科学研究网络,并与美国Internet2具有直接连接。
清华大学校园网主干网拓扑结构如下图所示。
图:
清华大学校园网主干网
目前,清华大学学生宽带入网率已达到100%,教职工宽带入网率达到85%,多媒体教室全部联网,座位数超过6000多个,图书馆和校机关等重要公共区域已实现无线覆盖。
基本建成全校性、开放型、分布式、多媒体的清华大学信息系统;初步实现并不断完善网上办公、网上管理、网上教学和网上服务。
1.3.1全网统一的身份认证
建立了全网统一的身份认证系统,统一了图书馆、教务、网络教学、财务、人事、开放实验室机房等应用系统的用户口令,实现校园网上Web应用漫游,形成个性化信息服务的格局。
1.3.2办公系统
以WEB界面为主要应用界面,基于统一口令认证,建立了个人移动办公环境。
其中办公用户1299个,包括了各部、处、院、系、所及所属科室。
浏览用户为全校教职工和学生。
共设信息栏目280个,综合信息服务点击次数20多万次/天。
1.3.3教务系统
面向多部门、多类用户提供服务。
包括教务处、研究生院、注册中心、结算中心、学生处、IC卡、各院系。
与全国招生系统衔接,实现了“数字迎新”。
实现硕士生网上报名、查询成绩和录取等,这是全国第一个正式实现网上报名和录取的研究生院单位。
实现了开放式的学籍维护,由学生自行修改学籍中部分内容,提高了数据准确度,解决了长期以来学位授予信息不准确带来的更换证书的大量重复工作和证书的浪费问题。
实现了考试成绩录入分散与集中相结合,“网上录入成绩”软件对所有任课教师开放。
连续3年通过网络进行毕业资格审查。
1.3.4数字图书馆
图书馆各类文献数据库已有187个,涵盖全校几乎所有学科;中外文全文电子期刊已超出1万6千种;外文电子期刊10,000种(纸本外文刊约1,550种);中文电子期刊5,300种(纸本中文刊约2,900种);学术性文献的数字资源总量已经超过3,000GB(3TB);读者免付资源使用费和国际网络通信费。
1.3.5社区服务
除支持各种教学、科研和管理工作,还提供多种社区服务,如网上购物等。
1.3.6人力资源、设备资产管理
以人力资源信息为基础,建立各部门数据交换与共享平台。
全校的设备管理,包括建卡,设备调剂等,均通过网上进行。
1.3.7财务系统
配合学校帐务从两级核算向一级核算,工资从两级管理向一级管理的体制改革,实现领导、教工个人对工资和科研项目经费、专项拨款等网上查询。
1.3.8网络教学系统
网络教学系统主要包括:
一个平台,即多媒体网络教学支撑平台;三类用户,即教师、学生、教学支持人员(包括管理、资源开发与技术支持);五个系统,即主从式多媒体网络教学系统、网络辅助教学系统、COD点播系统、多媒体课件制作系统、网络考试系统;提供七种服务,即网上备课、课件制作、教学素材库、网络授课、网上交流、网上自学、网络考试。
1.4总体建设目标
采用成熟技术,在控制总体建设投资规模的前提下,建成能满足学校教学、管理需要的、主要面向个人终端用户的高速局域网。
同时追求网络性能的更稳定、更可靠、更快、更安全和网络服务与管理的更完善。
紫荆学生公寓局域网建设应遵从清华校园网无障碍使用(5A)的基本原则,即:
1.校园网的任何合法用户(Anybody)
2.在任何时间(Anytime)
3.在校园内的任何地点(Anywhere)
4.使用任何计算机系统(Anysystem)
5.可以使用Internet上的任何网络应用(Anyapplication)
紫荆学生公寓局域网应充分考虑以下性能:
支持多媒体
支持QoS
支持VPN
支持IPV6
支持病毒的检测与防护
良好的可管理性
良好的中间件支持
主干网无阻塞
故障自动屏蔽
抗意外事故
抗扫描攻击
无干扰维护
24x7不间断运行
1.5主要建设内容
紫荆学生公寓局域网建设工作主要包括以下部分:
主干网
对外互连
接入网
网络机房
网络布线
安全系统
网络管理
用户管理
1.6总体设计原则
(1)兼容已有网络系统
紫荆学生公寓区内的学生宿舍局域网建成后由清华大学计算机信息网络工程研究中心统一进行运行、维护、管理及监控。
因此网络建设需要满足网络中心对管理和控制功能的要求。
设备的选型应由网络中新审定并与校园网和教育网设备相匹配。
(2)可分期实施
应考虑到紫荆公寓共分期建设、投入使用的实际情况,要确保各期工程建成后相应的网络能同步开通使用。
(3)高性能
能够较好地承载主要网络应用,使其能够有足够的应用满意度。
能够耐受一定程度的大数据量冲击和安全问题干扰。
(4)高稳定性
尽量减少网络设备故障、系统维护工作和意外事故对网络性能的影响。
(5)控制投资规模
尽可能降低成本节约投资,用有限的投资实现尽可能多功能。
(6)低管理成本
采用简单、清晰的网络拓扑结构,以方便发生网络故障时对问题的定位与排查,同时尽量减少故障点。
(7)可扩展性
可以通过增加新的模块和部分关键设备的方式解决局部的需求增长、扩展系统规模,甚至可以提升整个系统性能、增加整个系统的承载能力,以满足新的应用需求。
(8)可管理性
所有网络设备均应可以通过网络远程进行参数配置、性能控制及状态检查。
能够及时发现、追查并解决影响网络正常运行的事件及网络违规事件。
(9)结合楼宇和信息点分布进行设计
目前,小区的规划已经全部完成。
其中的A01~A03楼现已经全部入住且网络已经开通处于试运行阶段。
A04~A13楼室内布线已经全部完毕。
区内楼外的管线现已完成管块埋设,未穿线。
第二章需求分析
2.1概述
需求分析是所有工程生命周期的第一个阶段并贯穿于工程的整个生命周期。
任何一个工程,实际都要经历需求分析、系统设计、建造实施、质量完善四个阶段。
需求分析的目的是确定工程系统的目标。
促使目标系统最大地满足用户需求。
完整、准确、有效的需求分析结果是工程设计成功的基本依据之一。
正确、有效的分析工作是一个工程能够顺利完成并取得预期结果的基本保证之一。
需求分析的重要性在软件工程中体现最为显著。
需求分析作为软件第一个阶段,其重要性越来越突出,到80年代中期,逐步形成了软件工程的子领域——需求工程。
进入90年代后,需求工程成为软件界研究的重点之一。
紫荆学生公寓位于清华大学清华园校区现有北围墙外的北侧。
作为一个功能完整、设施齐备的学生生活专用小区,建成后将与清华大学的清华园校区连成一片,成为清华大学的清华园校区的一个相对独立的组成部分。
根据网络分析和校园网现有学生宿舍局域网的实际经验,紫荆公寓作为专用学生生活区,其网络应用和需求有着自己明显的特点。
2.2网络规模
2.2.1物理范围
清华大学紫荆学生公寓区占地28.42公顷,东西最大距离约850米,南北最大距离约450米。
区内建有学生公寓楼23栋,配套服务设施6栋,建筑总面积约39万平方米。
小区建成后可容纳22400名学生入住。
为保证区内每个学生和管理人员的上网需要,区内的计算机网络必须覆盖接通上述29栋建筑。
2.2.2信息点数
为保证区内每个学生的上网需要,除公寓内每个住宿床位有一个网络接入信息点外,在配套服务设施内也布设一定数量的网络接入信息点。
另外,为满足小区内部管理工作的需要,在管理用房内也设置部分网络接入信息点。
具体如下:
本科生公寓楼:
13950点
研究生公寓楼:
4370点
继续教育和留学生公寓楼:
4080点
管理用房约:
200点
配套服务设施约:
2400点
共计:
25000点
2.2.3入网计算机数
从实际情况看,本科刚入校的新生因受学校政策的限制计算机拥有量最低,约为30%。
随着在校时间的增加,到本科3、4年级,计算机拥有量约为70%。
研究生的计算机拥有量则在90%以上。
而继续教育学员和留学生的计算机拥有量都较高。
目前的这个情况还受校内现有住宿拥挤和网络接入口少(本科生每3人一个)的影响。
如果计算机拥有率按大一30%、大二50%、大三70%、大四80%、研究生90%、其他学生80%估算,本科生的平均计算机拥有率为:
(30%+50%+70%+80%)4=56%
若按此模型推算,紫荆学生公寓内的计算机拥有量约为;
13950×58%+4370×90%+4080×80%
=8091+3933+2364
=15288(台)
总平均拥有量为:
15288÷22400≈68.25
在学生入住紫荆学生公寓后居住拥挤和网络接入点不够的问题将会得到根本改善,届时每个学生都有一个网络接入插座和一个计算机机位。
另外,随着计算机网络应用范围的不断扩大、必需的使用项目不断增加和计算机绝对价位的不断下降,可以预见学生的计算机将成为必备工具之一,其拥有量将有较大提高。
如果没有计算机的学生人数下降为现行的三分之一,则总计算机拥有率约为90%。
相应的计算机总台数为:
22400×90%=20160(台)
考虑到管理、服务和公共场合的应用并考虑大约4%的冗余,紫荆学生公寓内的计算机设计拥有量为21000台。
2.2.4同时在线计算机数
学生宿舍显著特点之一就是生活模式的时间一致性极强。
尤其是网络使用时间上存在着明显的集中上网高峰时间段,也就是说,学生宿舍局域网的高峰计算机在线率明显高于城域网、企业网络和宽带小区。
预计可以达到80%。
照此计算,紫荆公寓在网络使用高峰期时,同时在线计算机数约为16800台。
2.3应用需求
紫荆学生公寓作为学生的居住区,其网络应用模式简单,绝大多数为客户终端机,同时有少量主要针对校内的网络资源服务,例如FTP、BBS、视频广播等。
网络应用的主要类型有:
WWW浏览、FTP文件传输、收发电子邮件、在线视频转播和收看、多媒体课件、DHCP、实时身份认与识别、电子商务客户端、文件共享、在线实时网络游戏等。
2.4流量分析
网络流量大是学生宿舍计算机网络的特点,它主要由三个方面原因造成。
首先是每天流量的高峰使用期长,一般在早上9:
00-次日1:
00。
这相当于企业网络(高峰期在工作时间)和宽带小区(高峰期在下班后)的时间总和。
其次是在线用户数量多,远大于企业网络用户的20%和宽带小区用户的6%。
最后和其他网络用户相比,学生的人均网络流量相对更大。
2.5带宽需求
紫荆学生公寓局域网的用户带宽需求,可以根据用户类型分为普通终端用户和服务用户两类。
普通终端用户的网络应用又分为时实和非实时两种。
实时网络应用中对传输带宽需求最大的是实时视频传输。
目前高质量视频流传输的带宽需求为2Mb/s。
而对于低质量的实时视频传输,325Kb/s的就可以达到实用的要求。
对于非实时网络应用,尤其是文件传输类的应用,带宽越大越好。
而在1Mb/s带宽下所有非实时网络应用均可顺利进行。
然而在网络的实际应用中,用户实际使用的带宽取决于起点对传输路径中所有连路中所能分得的最小带宽和服务器的吞吐量,绝大多数在100~500Kb/s之间。
所以,普通终端用户的基本带宽需求为每人1~2Mb/s。
对于服务用户其所需带宽越大越好,根据实际硬件情况通常为每台服务器100Mb/s。
特殊情况可以视实际资源和需求情况调整。
2.6地址需求
紫荆学生公寓局域网的IP地址规划遵循清华校园网地址规划方案,全部使用合法的IP地址。
2.7安全性需求
紫荆学生公寓局域网安全需求分为以下几个方面或环节。
这些需求又分别涉及物理环境安全、网络传输、访问控制、系统安全、应用安全和安全管理等各种技术。
1.网络平台的安全性和可靠性;
2.传输数据的安全;
3.实现全网统一的身份鉴别,能依据规则实施访问控制;
4.保证紫荆学生公寓局域网具有一整套完备的防病毒体系,能对病毒进行实时响应;
5.保证紫荆学生公寓局域网具有一整套完备的入侵检测体系,并提供漏洞扫描系统,能对各种攻击行为进行实时响应;
6.在紫荆学生公寓局域网的出口边界设置DDOS过滤器,以阻断内外之间的DDOS攻击,减少恶意带宽占用。
7.当网络中发生安全性问题时能够准确地定位、找到相关责任人。
2.8稳定性需求
稳定性是网络十分重要和基本的性能需求,稳定性作为一个综合目标,要求设备自身的冗余特性和高性能;各层次链路的冗余性;以及二层和三层设计的冗余备份考虑。
同时完整的网络安全方案也是在受到各种攻击时保证稳定性的重要方面。
稳定性要求校园网在设计的负载容量内为主要用户和主要网络服务提供接近运营级别的不间断服务。
2.9可靠性需求
紫荆学生公寓局域网的可靠性通过采用可靠的组网技术、机房环境及对网络运营进行严格管理来保证。
组网技术方面主要要考虑以下三个问题:
链路可靠性:
每个节点与其它节点之间通过不同路径的多条线路连接,避免单路故障,提高网络路径冗余,线路应尽可能使用不同的物理光纤链路;
设备可靠性:
选用性能稳定、可靠的设备。
消除单点故障,使用设备的异地热备份技术,保证网络及业务的不间断性;
路由可靠性:
自动选路和迂回,做到当某部分网络出现意外而发生通路切换时,这些操作对上层业务主机是透明的。
机房环境则主要包括稳定的不间断电源、抗灾能力等
网络运营管理包括合理的网络管理系统及配套的管理制度。
2.10可扩展性需求
学生宿舍局域网在网络建设完成后,网络拓扑结构和用户数量的变化比较小。
但是网络应用的发展和变化是肯定的,对网络的性能要求必定是逐渐提高的。
因此要求网络建成后,能够通过添加若干处理模块或关键网络设备而解决运行中出现的局部性能不足的问题。
2.11可管理性需求
在统一规划的前提下,建设基于统一的网络管理平台的多级网管系统,清晰地描述各级网络管理系统的管理边界、管理权限和管理接口;
1)提供健全的设备管理,链路管理的网管平台。
2)采用专用的性能管理工具,监控网络性能,采集、分析网络性能问题。
3)采用完整的用户认证计费系统,实现全网的用户管理。
4)实现网络管理的自动化、制度化和规范化;
5)建立具备良好可扩充性的网管体系结构,适应网络规模的调整,支持对网管系统的二次开发或定制。
2.12兼容性需求
首先,紫荆学生公寓区局域网建成后将交由校
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 清华大学 局域网 总体 解决方案