清华大学紫荆学生公寓区局域网总体设计方案清华大学信息网络工程研究中心二00三年五月目录第一章总体设计概述 1 1.1 前言 11.2 紫荆学生公寓区项目概况 11.2.1 紫荆学生公寓各类户型网络信息点数 1 1.2.2 管理模式 21.3 校园网现状 21.3.1 全网统一的身份认证 31.3.2 办公系统 31.3.3 教务系统 31.3.4 数字图书馆 41.3.5 社区服务 41.3.6 人力资源、设备资产管理 41.3.7 财务系统 41.3.8 网络教学系统 41.4 总体建设目标 41.5 主要建设内容 51.6 总体设计原则 6第二章需求分析82.1 概述82.2 网络规模82.2.1 物理范围82.2.2 信息点数82.2.3 入网计算机数82.2.4 同时在线计算机数92.3 应用需求92.4 流量分析102.5 带宽需求102.6 地址需求102.7 安全性需求102.8 稳定性需求112.9 可靠性需求112.10 可扩展性需求11 2.11 可管理性需求12 2.12 兼容性需求12第三章网络总体方案13 3.1 概述133.2 网络结构设计13 3.2.1 区域划分133.2.2 层次划分133.2.3 层次定义和功能14 3.2.4 拓扑结构设计15 3.3 核心层设计163.4 汇聚层设计173.5 接入层设计173.6 网络互联设计19 3.7 VLAN设计193.7.1 用户VLAN193.7.2 管理VLAN203.8 IP地址分配213.8.1 IP地址总体需求考虑213.8.2 网络地址213.8.3 用户地址223.8.4 预留地址223.8.5 IP地址管理办法233.9 路由设计233.9.1 路由协议选择233.9.2 路由协议配置233.9.3 Metric设置253.9.4 IP地址聚合263.10 可靠性设计263.10.1 设备可靠性263.10.2 链路可靠性273.10.3 路由可靠性273.11 基本网络服务283.11.1 紫荆公寓网络域名服务系统设计28 3.11.2 邮件服务Mail Service303.11.3 增值服务－组播服务303.12 设备选型313.12.1 10G核心路由交换机313.12.2 汇聚三层交换机353.12.3 接入二层交换机38第四章布线系统404.1 概述404.2 设计方案404.2.1 设计依据404.2.2 设计说明414.3 产品选型414.3.1 所选用光缆的特点414.3.2 所选用光缆接续单元的特点44 第五章网络机房建设47第六章网络安全486.1 概述486.2 主要安全威胁分析486.3 紫荆公寓园区网安全设计原则51 6.4 网络安全总体方案设计516.5 身份认证系统526.6 访问控制管理和防火墙系统53 6.7 分布式入侵检测和流量监测系统54 6.8 漏洞扫描系统556.9 防病毒系统设计566.10 综合安全监控系统576.11 软件和设备选型576.12 设备和系统报价清单576.13 安全管理制度586.14 用户培训60第七章网络管理617.1 概述617.2 综合运行信息系统627.3 分布式网络监控系统637.3.1 故障监控637.3.2 性能监控677.3.3 拓扑和路由监控707.4 网络运行中心系统737.5 设备选型74第八章用户管理758.1 概述758.2 清华大学“基于用户身份认证的安全计费系统”76 8.2.1 功能768.2.2 系统基本架构778.2.3 基于用户计费的工作流程788.3 802.1x808.3.1 协议的开发背景808.3.2 几个名词的定义808.3.3 工作机制828.3.4 IEEE 802.1x协议的体系结构87 8.3.5 IEEE 802.1x协议的工作机制88 8.3.6 协议实现内容928.3.7 基本的认证过程958.3.8 几个注意的问题968.3.9 SNMP支持978.3.10 802.1x 存在的问题998.4 系统设计1008.4.1 设计目标1008.4.2 设计思想1018.4.3 设计方案1028.5 设备选型1048.5.1 接入交换机1048.5.2 认证服务器1048.5.3 数据库1048.5.4 计费服务器1048.5.5 数据采集服务器1048.5.6 WEB服务器1048.5.7 DHCP服务器105第九章设备选型106第十章运行与维护107第十一章工程进度及实施计划10811.1 工程进度10811.2 各期主要建设内容10811.3 实施办法与安排109第十二章经费预算110第一章总体设计概述1.1前言清华大学校园网自1985年开始自主研制成功了小型分组交换网DGCNET（Distributed General Computer Network——分布式通用计算机网络）系统以来，经过近20年的不断努力，历经了自主研究开发（1985～1987）、早期TUNet、NCFC（1991～1996）、“泰山工程”一期（1996～1998）、“泰山工程”二期（1998～2002）、“985”二期（2003）五个发展阶段。

特别是在清华大学努力建设世界一流大学的¬近几年中，随着计算机和计算机网络及应用技术的飞速发展，清华校园网的网络设施建设和网络应用建设取得了突飞猛进的发展，始终走在全国高校的前列。

到2001年，校内包括本科生和研究生在内的全部学生宿舍就已经全部建成了千兆到楼的高速局域网。

现在计算机网络应用已经融会到了清华大学教学、科研和管理的各个方面。

已经通过校园网实际使用的主要系统有：全网统一身份认证系统、办公系统、教务系统、财务系统、人力资源管理、设备资产管理、网络教学系统、数字图书馆、社区服务以及视频转播等等。

通过计算机网络不仅可以随时查阅遍布世界各地的大量信息资料，进行信息交流，而且越来越多的课程通过校园网下载讲义、上传作业。

校内办公信息已经全部采用网上发布的方式，财务报表和结算也是通过计算机网络完成。

在今天的清华大学，校园计算机网络已经成为不可或缺的一项基础设施，其重要性甚至超过了传统的电信电话。

紫荆学生公寓作为清华大学在校学生的主要集中居住地，其计算机网络设施实际上是一项必备的基础设施。

1.2紫荆学生公寓区项目概况清华大学紫荆学生公寓位于清华大学清华园校区现有北围墙外的北侧，占地28.42公顷，区内建筑总面积约39万平方米。

建成后可容纳22400名学生入住。

区内网络布线除保证每个学生上网需要外，还需要给区内公建、辅助设施及管理人员留有足够的网络端口。

1.2.1紫荆学生公寓各类户型网络信息点数整个紫荆学生公寓区内大约有25000个信息点，其中：1. A01～A03信息点为：3808个2. A04～A13信息点为：10128个3. 留学生公寓B01～B04信息点为：2031个4. 继续教育学员B05～B06信息点为：1022个5. 研究生公寓、继续教育学员公寓C01～C04信息点为：5366个6. 管理用房其他辅助用房信息点为：～200个7. E01学生服务中心信息点为：～1000个8. E02学生活动中心信息点为：～1200个9. D01～D04食堂信息点为：～200个紫荆学生公寓区内建筑面积和人数分布表见附件一。

紫荆学生公寓区平面总图见附件二。

1.2.2管理模式紫荆学生公寓区内的学生宿舍局域网建成后由清华大学计算机信息网络工程研究中心统一进行运行、维护、管理及监控。

紫荆学生公寓区内的网络总控中心设在学生服务中心内，面积约60㎡，预计2004年3月可建成。

2003年9月投入使用的A04～A13临时控制室暂设在学生宿舍31号楼内。

1.3校园网现状清华大学校园网是世界规模最大的校园网之一，校园内光缆通达180座楼，700芯•公里，入网计算机30,000台。

随着用户规模和使用量的持续增长，清华大学正在进行新一代校园网规划建设，预计实现五项指标：建立Lambda光传输网络，实现无阻塞IP网络，实现校园移动通信，提供IP电话、视频会议等公共多媒体服务，建立健全网络安全和运行管理体系。

在即将完成的第一期升级改造后，清华大学校园网的核心主干节点将达到6个，利用10GE 技术连接成环，并设置两个专门用于支持学科建设的万兆汇聚点，万兆直连校园主干网。

整个校园网以多个千兆直连教育网。

清华大学同时也是我国下一代互联网交换中心DragonTAP所在地，连接了NSFCNET、教育网、CSTNET等科学研究网络，并与美国Internet 2具有直接连接。

清华大学校园网主干网拓扑结构如下图所示。

图：清华大学校园网主干网目前，清华大学学生宽带入网率已达到100%，教职工宽带入网率达到85%，多媒体教室全部联网，座位数超过6000多个，图书馆和校机关等重要公共区域已实现无线覆盖。

基本建成全校性、开放型、分布式、多媒体的清华大学信息系统；初步实现并不断完善网上办公、网上管理、网上教学和网上服务。

1.3.1全网统一的身份认证建立了全网统一的身份认证系统，统一了图书馆、教务、网络教学、财务、人事、开放实验室机房等应用系统的用户口令，实现校园网上Web应用漫游，形成个性化信息服务的格局。

1.3.2办公系统以WEB界面为主要应用界面，基于统一口令认证，建立了个人移动办公环境。

其中办公用户1299个，包括了各部、处、院、系、所及所属科室。

浏览用户为全校教职工和学生。

共设信息栏目280个，综合信息服务点击次数20多万次/天。

1.3.3教务系统面向多部门、多类用户提供服务。

包括教务处、研究生院、注册中心、结算中心、学生处、IC卡、各院系。

与全国招生系统衔接，实现了“数字迎新”。

实现硕士生网上报名、查询成绩和录取等，这是全国第一个正式实现网上报名和录取的研究生院单位。

实现了开放式的学籍维护，由学生自行修改学籍中部分内容，提高了数据准确度，解决了长期以来学位授予信息不准确带来的更换证书的大量重复工作和证书的浪费问题。

实现了考试成绩录入分散与集中相结合，“网上录入成绩”软件对所有任课教师开放。

连续3年通过网络进行毕业资格审查。

1.3.4数字图书馆图书馆各类文献数据库已有187个，涵盖全校几乎所有学科；中外文全文电子期刊已超出1万6千种；外文电子期刊10,000种（纸本外文刊约1,550种）；中文电子期刊5,300种（纸本中文刊约2,900种）；学术性文献的数字资源总量已经超过3,000GB（3TB）；读者免付资源使用费和国际网络通信费。

1.3.5社区服务除支持各种教学、科研和管理工作，还提供多种社区服务，如网上购物等。

1.3.6人力资源、设备资产管理以人力资源信息为基础，建立各部门数据交换与共享平台。