清华大学紫荆学生公寓区局域网总体设计方案.doc

清华大学紫荆学生公寓区局域网 总体设计方案 清华大学信息网络工程研究中心 二00三年五月目录 第一章 总体设计概述 1 1.1 前言 1 1.2 紫荆学生公寓区项目概况 1 1.2.1 紫荆学生公寓各类户型网络信息点数 1 1.2.2 管理模式 2 1.3 校园网现状 2 1.3.1 全网统一的身份认证 3 1.3.2 办公系统 3 1.3.3 教务系统 3 1.3.4 数字图书馆 4 1.3.5 社区服务 4 1.3.6 人力资源、设备资产管理 4 1.3.7 财务系统 4 1.3.8 网络教学系统 4 1.4 总体建设目标 4 1.5 主要建设内容 5 1.6 总体设计原则 6 第二章 需求分析 8 2.1 概述 8 2.2 网络规模 8 2.2.1 物理范围 8 2.2.2 信息点数 8 2.2.3 入网计算机数 8 2.2.4 同时在线计算机数 9 2.3 应用需求 9 2.4 流量分析 10 2.5 带宽需求 10 2.6 地址需求 10 2.7 安全性需求 10 2.8 稳定性需求 11 2.9 可靠性需求 11 2.10 可扩展性需求 11 2.11 可管理性需求 12 2.12 兼容性需求 12 第三章 网络总体方案 13 3.1 概述 13 3.2 网络结构设计 13 3.2.1 区域划分 13 3.2.2 层次划分 13 3.2.3 层次定义和功能 14 3.2.4 拓扑结构设计 15 3.3 核心层设计 16 3.4 汇聚层设计 17 3.5 接入层设计 17 3.6 网络互联设计 19 3.7 VLAN设计 19 3.7.1 用户VLAN 19 3.7.2 管理VLAN 20 3.8 IP地址分配 21 3.8.1 IP地址总体需求考虑 21 3.8.2 网络地址 21 3.8.3 用户地址 22 3.8.4 预留地址 22 3.8.5 IP地址管理办法 23 3.9 路由设计 23 3.9.1 路由协议选择 23 3.9.2 路由协议配置 23 3.9.3 Metric设置 25 3.9.4 IP地址聚合 26 3.10 可靠性设计 26 3.10.1 设备可靠性 26 3.10.2 链路可靠性 27 3.10.3 路由可靠性 27 3.11 基本网络服务 28 3.11.1 紫荆公寓网络域名服务系统设计 28 3.11.2 邮件服务Mail Service 30 3.11.3 增值服务－组播服务 30 3.12 设备选型 31 3.12.1 10G核心路由交换机 31 3.12.2 汇聚三层 35 3.12.3 接入二层 38 第四章 布线系统 40 4.1 概述 40 4.2 设计方案 40 4.2.1 设计依据 40 4.2.2 设计说明 41 4.3 产品选型 41 4.3.1 所选用光缆的特点 41 4.3.2 所选用光缆接续单元的特点 44 第五章 网络机房建设 47 第六章 网络安全 48 6.1 概述 48 6.2 主要安全威胁分析 48 6.3 紫荆公寓园区网安全设计原则 51 6.4 网络安全总体方案设计 51 6.5 身份认证系统 52 6.6 访问控制管理和防火墙系统 53 6.7 分布式入侵检测和流量监测系统 54 6.8 漏洞扫描系统 55 6.9 防病毒系统设计 56 6.10 综合安全监控系统 57 6.11 软件和设备选型 57 6.12 设备和系统报价清单 57 6.13 安全管理制度 58 6.14 用户培训 60 第七章 网络管理 61 7.1 概述 61 7.2 综合运行信息系统 62 7.3 分布式网络监控系统 63 7.3.1 故障监控 63 7.3.2 性能监控 67 7.3.3 拓扑和路由监控 70 7.4 网络运行中心系统 73 7.5 设备选型 74 第八章 用户管理 75 8.1 概述 75 8.2 清华大学“基于用户身份认证的安全计费系统” 76 8.2.1 功能 76 8.2.2 系统基本架构 77 8.2.3 基于用户计费的工作流程 78 8.3 802.1x 80 8.3.1 协议的开发背景 80 8.3.2 几个名词的定义 80 8.3.3 工作机制 82 8.3.4 IEEE 802.1x协议的体系结构 87 8.3.5 IEEE 802.1x协议的工作机制 88 8.3.6 协议实现内容 92 8.3.7 基本的认证过程 95 8.3.8 几个注意的问题 96 8.3.9 SNMP支持 97 8.3.10 802.1x 存在的问题 99 8.4 系统设计 100 8.4.1 设计目标 100 8.4.2 设计思想 101 8.4.3 设计方案 102 8.5 设备选型 104 8.5.1 接入交换机 104 8.5.2 认证服务器