學(xué)生公寓區(qū)局域網(wǎng)設(shè)計(jì)方案

..清華大學(xué)紫荊學(xué)生公寓區(qū)局域網(wǎng)

總體設(shè)計(jì)方案

清華大學(xué)信息網(wǎng)絡(luò)工程研究中心

二00三年五月

目錄

第一章總體設(shè)計(jì)概述

1

1.1前言

1

1.2紫荊學(xué)生公寓區(qū)項(xiàng)目概況

1

1.2.1紫荊學(xué)生公寓各類戶型網(wǎng)絡(luò)信息點(diǎn)數(shù)

1

1.2.2管理模式

2

1.3校園網(wǎng)現(xiàn)狀

2

1.3.1全網(wǎng)統(tǒng)一的身份認(rèn)證

3

1.3.2辦公系統(tǒng)

3

1.3.3教務(wù)系統(tǒng)

3

1.3.4數(shù)字圖書館

4

1.3.5社區(qū)服務(wù)

4

1.3.6人力資源、設(shè)備資產(chǎn)管理

4

1.3.7財(cái)務(wù)系統(tǒng)

4

1.3.8網(wǎng)絡(luò)教學(xué)系統(tǒng)

4

1.4總體建設(shè)目標(biāo)

4

1.5主要建設(shè)內(nèi)容

5

1.6總體設(shè)計(jì)原則

6

第二章需求分析

8

2.1概述

8

2.2網(wǎng)絡(luò)規(guī)模

8

2.2.1物理范圍

8

2.2.2信息點(diǎn)數(shù)

8

2.2.3入網(wǎng)計(jì)算機(jī)數(shù)

8

2.2.4同時(shí)在線計(jì)算機(jī)數(shù)

9

2.3應(yīng)用需求

9

2.4流量分析

10

2.5帶寬需求

10

2.6地址需求

10

2.7安全性需求

10

2.8穩(wěn)定性需求

11

2.9可靠性需求

11

2.10可擴(kuò)展性需求

11

2.11可管理性需求

12

2.12兼容性需求

12

第三章網(wǎng)絡(luò)總體方案

13

3.1概述

13

3.2網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)

13

3.2.1區(qū)域劃分

13

3.2.2層次劃分

13

3.2.3層次定義和功能

14

3.2.4拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)

15

3.3核心層設(shè)計(jì)

16

3.4匯聚層設(shè)計(jì)

17

3.5接入層設(shè)計(jì)

17

3.6網(wǎng)絡(luò)互聯(lián)設(shè)計(jì)

19

3.7VLAN設(shè)計(jì)

19

3.7.1用戶VLAN

19

3.7.2管理VLAN

20

3.8IP地址分配

21

3.8.1IP地址總體需求考慮

21

3.8.2網(wǎng)絡(luò)地址

21

3.8.3用戶地址

22

3.8.4預(yù)留地址

22

3.8.5IP地址管理辦法

23

3.9路由設(shè)計(jì)

23

3.9.1路由協(xié)議選擇

23

3.9.2路由協(xié)議配置

23

3.9.3Metric設(shè)置

25

3.9.4IP地址聚合

26

3.10可靠性設(shè)計(jì)

26

3.10.1設(shè)備可靠性

26

3.10.2鏈路可靠性

27

3.10.3路由可靠性

27

3.11基本網(wǎng)絡(luò)服務(wù)

28

3.11.1紫荊公寓網(wǎng)絡(luò)域名服務(wù)系統(tǒng)設(shè)計(jì)

28

3.11.2郵件服務(wù)MailService

30

3.11.3增值服務(wù)－組播服務(wù)

30

3.12設(shè)備選型

31

3.12.110G核心路由交換機(jī)

31

3.12.2匯聚三層交換機(jī)

35

3.12.3接入二層交換機(jī)

38

第四章布線系統(tǒng)

40

4.1概述

40

4.2設(shè)計(jì)方案

40

4.2.1設(shè)計(jì)依據(jù)

40

4.2.2設(shè)計(jì)說明

41

4.3產(chǎn)品選型

41

4.3.1所選用光纜的特點(diǎn)

41

4.3.2所選用光纜接續(xù)單元的特點(diǎn)

44

第五章網(wǎng)絡(luò)機(jī)房建設(shè)

47

第六章網(wǎng)絡(luò)安全

48

6.1概述

48

6.2主要安全威脅分析

48

6.3紫荊公寓園區(qū)網(wǎng)安全設(shè)計(jì)原則

51

6.4網(wǎng)絡(luò)安全總體方案設(shè)計(jì)

51

6.5身份認(rèn)證系統(tǒng)

52

6.6訪問控制管理和防火墻系統(tǒng)

53

6.7分布式入侵檢測(cè)和流量監(jiān)測(cè)系統(tǒng)

54

6.8漏洞掃描系統(tǒng)

55

6.9防病毒系統(tǒng)設(shè)計(jì)

56

6.10綜合安全監(jiān)控系統(tǒng)

57

6.11軟件和設(shè)備選型

57

6.12設(shè)備和系統(tǒng)報(bào)價(jià)清單

57

6.13安全管理制度

58

6.14用戶培訓(xùn)

60

第七章網(wǎng)絡(luò)管理

61

7.1概述

61

7.2綜合運(yùn)行信息系統(tǒng)

62

7.3分布式網(wǎng)絡(luò)監(jiān)控系統(tǒng)

63

7.3.1故障監(jiān)控

63

7.3.2性能監(jiān)控

67

7.3.3拓?fù)浜吐酚杀O(jiān)控

70

7.4網(wǎng)絡(luò)運(yùn)行中心系統(tǒng)

73

7.5設(shè)備選型

74

第八章用戶管理

75

8.1概述

75

8.2清華大學(xué)"基于用戶身份認(rèn)證的安全計(jì)費(fèi)系統(tǒng)"

76

8.2.1功能

76

8.2.2系統(tǒng)基本架構(gòu)

77

8.2.3基于用戶計(jì)費(fèi)的工作流程

78

8.3802.1x

80

8.3.1協(xié)議的開發(fā)背景

80

8.3.2幾個(gè)名詞的定義

80

8.3.3工作機(jī)制

82

8.3.4IEEE802.1x協(xié)議的體系結(jié)構(gòu)

87

8.3.5IEEE802.1x協(xié)議的工作機(jī)制

88

8.3.6協(xié)議實(shí)現(xiàn)內(nèi)容

92

8.3.7基本的認(rèn)證過程

95

8.3.8幾個(gè)注意的問題

96

8.3.9SNMP支持

97

8.3.10802.1x存在的問題

99

8.4系統(tǒng)設(shè)計(jì)

100

8.4.1設(shè)計(jì)目標(biāo)

100

8.4.2設(shè)計(jì)思想

101

8.4.3設(shè)計(jì)方案

102

8.5設(shè)備選型

104

8.5.1接入交換機(jī)

104

8.5.2認(rèn)證服務(wù)器

104

8.5.3數(shù)據(jù)庫

104

8.5.4計(jì)費(fèi)服務(wù)器

104

8.5.5數(shù)據(jù)采集服務(wù)器

104

8.5.6WEB服務(wù)器

104

8.5.7DHCP服務(wù)器

105

第九章設(shè)備選型

106

第十章運(yùn)行與維護(hù)

107

第十一章工程進(jìn)度及實(shí)施計(jì)劃

108

11.1工程進(jìn)度

108

11.2各期主要建設(shè)內(nèi)容

108

11.3實(shí)施辦法與安排

109

第十二章經(jīng)費(fèi)預(yù)算

110

第一章

總體設(shè)計(jì)概述

1.1

前言

清華大學(xué)校園網(wǎng)自1985年開始自主研制成功了小型分組交換網(wǎng)DGCNET〔DistributedGeneralComputerNetwork——分布式通用計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)以來,經(jīng)過近20年的不斷努力,歷經(jīng)了自主研究開發(fā)〔1985～1987、早期TUNet、NCFC〔1991～1996、"泰山工程"一期〔1996～1998、"泰山工程"二期〔1998～2002、"985"二期〔2003五個(gè)發(fā)展階段。特別是在清華大學(xué)努力建設(shè)世界一流大學(xué)的?近幾年中,隨著計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)及應(yīng)用技術(shù)的飛速發(fā)展,清華校園網(wǎng)的網(wǎng)絡(luò)設(shè)施建設(shè)和網(wǎng)絡(luò)應(yīng)用建設(shè)取得了突飛猛進(jìn)的發(fā)展,始終走在全國(guó)高校的前列。到20XX,校內(nèi)包括本科生和研究生在內(nèi)的全部學(xué)生宿舍就已經(jīng)全部建成了千兆到樓的高速局域網(wǎng)?，F(xiàn)在計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用已經(jīng)融會(huì)到了清華大學(xué)教學(xué)、科研和管理的各個(gè)方面。已經(jīng)通過校園網(wǎng)實(shí)際使用的主要系統(tǒng)有：全網(wǎng)統(tǒng)一身份認(rèn)證系統(tǒng)、辦公系統(tǒng)、教務(wù)系統(tǒng)、財(cái)務(wù)系統(tǒng)、人力資源管理、設(shè)備資產(chǎn)管理、網(wǎng)絡(luò)教學(xué)系統(tǒng)、數(shù)字圖書館、社區(qū)服務(wù)以及視頻轉(zhuǎn)播等等。通過計(jì)算機(jī)網(wǎng)絡(luò)不僅可以隨時(shí)查閱遍布世界各地的大量信息資料,進(jìn)行信息交流,而且越來越多的課程通過校園網(wǎng)下載講義、上傳作業(yè)。校內(nèi)辦公信息已經(jīng)全部采用網(wǎng)上發(fā)布的方式,財(cái)務(wù)報(bào)表和結(jié)算也是通過計(jì)算機(jī)網(wǎng)絡(luò)完成。在今天的清華大學(xué),校園計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)成為不可或缺的一項(xiàng)基礎(chǔ)設(shè)施,其重要性甚至超過了傳統(tǒng)的電信。紫荊學(xué)生公寓作為清華大學(xué)在校學(xué)生的主要集中居住地,其計(jì)算機(jī)網(wǎng)絡(luò)設(shè)施實(shí)際上是一項(xiàng)必備的基礎(chǔ)設(shè)施。

1.2

紫荊學(xué)生公寓區(qū)項(xiàng)目概況

清華大學(xué)紫荊學(xué)生公寓位于清華大學(xué)清華園校區(qū)現(xiàn)有北圍墻外的北側(cè),占地28.42公頃,區(qū)內(nèi)建筑總面積約39萬平方米。建成后可容納22400名學(xué)生入住。區(qū)內(nèi)網(wǎng)絡(luò)布線除保證每個(gè)學(xué)生上網(wǎng)需要外,還需要給區(qū)內(nèi)公建、輔助設(shè)施及管理人員留有足夠的網(wǎng)絡(luò)端口。

1.2.1

紫荊學(xué)生公寓各類戶型網(wǎng)絡(luò)信息點(diǎn)數(shù)

整個(gè)紫荊學(xué)生公寓區(qū)內(nèi)大約有25000個(gè)信息點(diǎn),其中：

1.A01～A03信息點(diǎn)為：

3808個(gè)

2.A04～A13信息點(diǎn)為：

10128個(gè)

3.留學(xué)生公寓B01～B04信息點(diǎn)為：

2031個(gè)

4.繼續(xù)教育學(xué)員B05～B06信息點(diǎn)為：

1022個(gè)

5.研究生公寓、繼續(xù)教育學(xué)員公寓C01～C04信息點(diǎn)為：

5366個(gè)

6.管理用房其他輔助用房信息點(diǎn)為：

～200個(gè)

7.E01學(xué)生服務(wù)中心信息點(diǎn)為：

～1000個(gè)

8.E02學(xué)生活動(dòng)中心信息點(diǎn)為：

～1200個(gè)

9.D01～D04食堂信息點(diǎn)為：

～200個(gè)

紫荊學(xué)生公寓區(qū)內(nèi)建筑面積和人數(shù)分布表見附件一。

紫荊學(xué)生公寓區(qū)平面總圖見附件二。

1.2.2

管理模式

紫荊學(xué)生公寓區(qū)內(nèi)的學(xué)生宿舍局域網(wǎng)建成后由清華大學(xué)計(jì)算機(jī)信息網(wǎng)絡(luò)工程研究中心統(tǒng)一進(jìn)行運(yùn)行、維護(hù)、管理及監(jiān)控。紫荊學(xué)生公寓區(qū)內(nèi)的網(wǎng)絡(luò)總控中心設(shè)在學(xué)生服務(wù)中心內(nèi),面積約60㎡,預(yù)計(jì)20XX3月可建成。20XX9月投入使用的A04～A13臨時(shí)控制室暫設(shè)在學(xué)生宿舍31號(hào)樓內(nèi)。

1.3

校園網(wǎng)現(xiàn)狀

清華大學(xué)校園網(wǎng)是世界規(guī)模最大的校園網(wǎng)之一,校園內(nèi)光纜通達(dá)180座樓,700芯?公里,入網(wǎng)計(jì)算機(jī)30,000臺(tái)。隨著用戶規(guī)模和使用量的持續(xù)增長(zhǎng),清華大學(xué)正在進(jìn)行新一代校園網(wǎng)規(guī)劃建設(shè),預(yù)計(jì)實(shí)現(xiàn)五項(xiàng)指標(biāo)：建立Lambda光傳輸網(wǎng)絡(luò),實(shí)現(xiàn)無阻塞IP網(wǎng)絡(luò),實(shí)現(xiàn)校園移動(dòng)通信,提供IP、視頻會(huì)議等公共多媒體服務(wù),建立健全網(wǎng)絡(luò)安全和運(yùn)行管理體系。

在即將完成的第一期升級(jí)改造后,清華大學(xué)校園網(wǎng)的核心主干節(jié)點(diǎn)將達(dá)到6個(gè),利用10GE技術(shù)連接成環(huán),并設(shè)置兩個(gè)專門用于支持學(xué)科建設(shè)的萬兆匯聚點(diǎn),萬兆直連校園主干網(wǎng)。整個(gè)校園網(wǎng)以多個(gè)千兆直連教育網(wǎng)。清華大學(xué)同時(shí)也是我國(guó)下一代互聯(lián)網(wǎng)交換中心DragonTAP所在地,連接了NSFCNET、教育網(wǎng)、CSTNET等科學(xué)研究網(wǎng)絡(luò),并與美國(guó)Internet2具有直接連接。清華大學(xué)校園網(wǎng)主干網(wǎng)拓?fù)浣Y(jié)構(gòu)如下圖所示。

圖：清華大學(xué)校園網(wǎng)主干網(wǎng)

目前,清華大學(xué)學(xué)生寬帶入網(wǎng)率已達(dá)到100%,教職工寬帶入網(wǎng)率達(dá)到85%,多媒體教室全部聯(lián)網(wǎng),座位數(shù)超過6000多個(gè),圖書館和校機(jī)關(guān)等重要公共區(qū)域已實(shí)現(xiàn)無線覆蓋?；窘ǔ扇Ｐ浴㈤_放型、分布式、多媒體的清華大學(xué)信息系統(tǒng)；初步實(shí)現(xiàn)并不斷完善網(wǎng)上辦公、網(wǎng)上管理、網(wǎng)上教學(xué)和網(wǎng)上服務(wù)。

1.3.1

全網(wǎng)統(tǒng)一的身份認(rèn)證

建立了全網(wǎng)統(tǒng)一的身份認(rèn)證系統(tǒng),統(tǒng)一了圖書館、教務(wù)、網(wǎng)絡(luò)教學(xué)、財(cái)務(wù)、人事、開放實(shí)驗(yàn)室機(jī)房等應(yīng)用系統(tǒng)的用戶口令,實(shí)現(xiàn)校園網(wǎng)上Web應(yīng)用漫游,形成個(gè)性化信息服務(wù)的格局。

1.3.2

辦公系統(tǒng)

以WEB界面為主要應(yīng)用界面,基于統(tǒng)一口令認(rèn)證,建立了個(gè)人移動(dòng)辦公環(huán)境。其中辦公用戶1299個(gè),包括了各部、處、院、系、所及所屬科室。瀏覽用戶為全校教職工和學(xué)生。共設(shè)信息欄目280個(gè),綜合信息服務(wù)點(diǎn)擊次數(shù)20多萬次/天。

1.3.3

教務(wù)系統(tǒng)

面向多部門、多類用戶提供服務(wù)。包括教務(wù)處、研究生院、注冊(cè)中心、結(jié)算中心、學(xué)生處、IC卡、各院系。與全國(guó)招生系統(tǒng)銜接,實(shí)現(xiàn)了"數(shù)字迎新"。實(shí)現(xiàn)碩士生網(wǎng)上報(bào)名、查詢成績(jī)和錄取等,這是全國(guó)第一個(gè)正式實(shí)現(xiàn)網(wǎng)上報(bào)名和錄取的研究生院?jiǎn)挝弧?shí)現(xiàn)了開放式的學(xué)籍維護(hù),由學(xué)生自行修改學(xué)籍中部分內(nèi)容,提高了數(shù)據(jù)準(zhǔn)確度,解決了長(zhǎng)期以來學(xué)位授予信息不準(zhǔn)確帶來的更換證書的大量重復(fù)工作和證書的浪費(fèi)問題。實(shí)現(xiàn)了考試成績(jī)錄入分散與集中相結(jié)合,"網(wǎng)上錄入成績(jī)"軟件對(duì)所有任課教師開放。連續(xù)3年通過網(wǎng)絡(luò)進(jìn)行畢業(yè)資格審查。

1.3.4

數(shù)字圖書館

圖書館各類文獻(xiàn)數(shù)據(jù)庫已有187個(gè),涵蓋全校幾乎所有學(xué)科；中外文全文電子期刊已超出1萬6千種；外文電子期刊10,000種〔紙本外文刊約1,550種；中文電子期刊5,300種〔紙本中文刊約2,900種；學(xué)術(shù)性文獻(xiàn)的數(shù)字資源總量已經(jīng)超過3,000GB〔3TB；讀者免付資源使用費(fèi)和國(guó)際網(wǎng)絡(luò)通信費(fèi)。

1.3.5

社區(qū)服務(wù)

除支持各種教學(xué)、科研和管理工作,還提供多種社區(qū)服務(wù),如網(wǎng)上購物等。

1.3.6

人力資源、設(shè)備資產(chǎn)管理

以人力資源信息為基礎(chǔ),建立各部門數(shù)據(jù)交換與共享平臺(tái)。全校的設(shè)備管理,包括建卡,設(shè)備調(diào)劑等,均通過網(wǎng)上進(jìn)行。

1.3.7

財(cái)務(wù)系統(tǒng)

配合學(xué)校帳務(wù)從兩級(jí)核算向一級(jí)核算,工資從兩級(jí)管理向一級(jí)管理的體制改革,實(shí)現(xiàn)領(lǐng)導(dǎo)、教工個(gè)人對(duì)工資和科研項(xiàng)目經(jīng)費(fèi)、專項(xiàng)撥款等網(wǎng)上查詢。

1.3.8

網(wǎng)絡(luò)教學(xué)系統(tǒng)

網(wǎng)絡(luò)教學(xué)系統(tǒng)主要包括：一個(gè)平臺(tái),即多媒體網(wǎng)絡(luò)教學(xué)支撐平臺(tái)；三類用戶,即教師、學(xué)生、教學(xué)支持人員〔包括管理、資源開發(fā)與技術(shù)支持；五個(gè)系統(tǒng),即主從式多媒體網(wǎng)絡(luò)教學(xué)系統(tǒng)、網(wǎng)絡(luò)輔助教學(xué)系統(tǒng)、COD點(diǎn)播系統(tǒng)、多媒體課件制作系統(tǒng)、網(wǎng)絡(luò)考試系統(tǒng)；提供七種服務(wù),即網(wǎng)上備課、課件制作、教學(xué)素材庫、網(wǎng)絡(luò)授課、網(wǎng)上交流、網(wǎng)上自學(xué)、網(wǎng)絡(luò)考試。

1.4

總體建設(shè)目標(biāo)

采用成熟技術(shù),在控制總體建設(shè)投資規(guī)模的前提下,建成能滿足學(xué)校教學(xué)、管理需要的、主要面向個(gè)人終端用戶的高速局域網(wǎng)。同時(shí)追求網(wǎng)絡(luò)性能的更穩(wěn)定、更可靠、更快、更安全和網(wǎng)絡(luò)服務(wù)與管理的更完善。紫荊學(xué)生公寓局域網(wǎng)建設(shè)應(yīng)遵從清華校園網(wǎng)無障礙使用〔5A的基本原則,即：

1.校園網(wǎng)的任何合法用戶〔Anybody>

2.在任何時(shí)間〔Anytime

3.在校園內(nèi)的任何地點(diǎn)〔Anywhere

4.使用任何計(jì)算機(jī)系統(tǒng)〔Anysystem

5.可以使用Internet上的任何網(wǎng)絡(luò)應(yīng)用〔Anyapplication

紫荊學(xué)生公寓局域網(wǎng)應(yīng)充分考慮以下性能：

支持多媒體

支持QoS

支持VPN

支持IPV6

支持病毒的檢測(cè)與防護(hù)

良好的可管理性

良好的中間件支持

主干網(wǎng)無阻塞

故障自動(dòng)屏蔽

抗意外事故抗掃描攻擊

無干擾維護(hù)

24x7不間斷運(yùn)行

1.5

主要建設(shè)內(nèi)容

紫荊學(xué)生公寓局域網(wǎng)建設(shè)工作主要包括以下部分：

主干網(wǎng)對(duì)外互連

接入網(wǎng)

網(wǎng)絡(luò)機(jī)房

網(wǎng)絡(luò)布線

安全系統(tǒng)

網(wǎng)絡(luò)管理

用戶管理

1.6

總體設(shè)計(jì)原則

<1>

兼容已有網(wǎng)絡(luò)系統(tǒng)

紫荊學(xué)生公寓區(qū)內(nèi)的學(xué)生宿舍局域網(wǎng)建成后由清華大學(xué)計(jì)算機(jī)信息網(wǎng)絡(luò)工程研究中心統(tǒng)一進(jìn)行運(yùn)行、維護(hù)、管理及監(jiān)控。因此網(wǎng)絡(luò)建設(shè)需要滿足網(wǎng)絡(luò)中心對(duì)管理和控制功能的要求。設(shè)備的選型應(yīng)由網(wǎng)絡(luò)中新審定并與校園網(wǎng)和教育網(wǎng)設(shè)備相匹配。

<2>

可分期實(shí)施

應(yīng)考慮到紫荊公寓共分期建設(shè)、投入使用的實(shí)際情況,要確保各期工程建成后相應(yīng)的網(wǎng)絡(luò)能同步開通使用。

<3>

高性能

能夠較好地承載主要網(wǎng)絡(luò)應(yīng)用,使其能夠有足夠的應(yīng)用滿意度。能夠耐受一定程度的大數(shù)據(jù)量沖擊和安全問題干擾。

<4>

高穩(wěn)定性

盡量減少網(wǎng)絡(luò)設(shè)備故障、系統(tǒng)維護(hù)工作和意外事故對(duì)網(wǎng)絡(luò)性能的影響。

<5>

控制投資規(guī)模

盡可能降低成本節(jié)約投資,用有限的投資實(shí)現(xiàn)盡可能多功能。

<6>

低管理成本

采用簡(jiǎn)單、清晰的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),以方便發(fā)生網(wǎng)絡(luò)故障時(shí)對(duì)問題的定位與排查,同時(shí)盡量減少故障點(diǎn)。

<7>

可擴(kuò)展性

可以通過增加新的模塊和部分關(guān)鍵設(shè)備的方式解決局部的需求增長(zhǎng)、擴(kuò)展系統(tǒng)規(guī)模,甚至可以提升整個(gè)系統(tǒng)性能、增加整個(gè)系統(tǒng)的承載能力,以滿足新的應(yīng)用需求。

<8>

可管理性

所有網(wǎng)絡(luò)設(shè)備均應(yīng)可以通過網(wǎng)絡(luò)遠(yuǎn)程進(jìn)行參數(shù)配置、性能控制及狀態(tài)檢查。能夠及時(shí)發(fā)現(xiàn)、追查并解決影響網(wǎng)絡(luò)正常運(yùn)行的事件及網(wǎng)絡(luò)違規(guī)事件。

<9>

結(jié)合樓宇和信息點(diǎn)分布進(jìn)行設(shè)計(jì)

目前,小區(qū)的規(guī)劃已經(jīng)全部完成。其中的A01～A03樓現(xiàn)已經(jīng)全部入住且網(wǎng)絡(luò)已經(jīng)開通處于試運(yùn)行階段。A04～A13樓室內(nèi)布線已經(jīng)全部完畢。區(qū)內(nèi)樓外的管線現(xiàn)已完成管塊埋設(shè),未穿線。

第二章

需求分析

2.1

概述

需求分析是所有工程生命周期的第一個(gè)階段并貫穿于工程的整個(gè)生命周期。任何一個(gè)工程,實(shí)際都要經(jīng)歷需求分析、系統(tǒng)設(shè)計(jì)、建造實(shí)施、質(zhì)量完善四個(gè)階段。需求分析的目的是確定工程系統(tǒng)的目標(biāo)。促使目標(biāo)系統(tǒng)最大地滿足用戶需求。完整、準(zhǔn)確、有效的需求分析結(jié)果是工程設(shè)計(jì)成功的基本依據(jù)之一。正確、有效的分析工作是一個(gè)工程能夠順利完成并取得預(yù)期結(jié)果的基本保證之一。需求分析的重要性在軟件工程中體現(xiàn)最為顯著。需求分析作為軟件第一個(gè)階段,其重要性越來越突出,到80年代中期,逐步形成了軟件工程的子領(lǐng)域——需求工程。進(jìn)入90年代后,需求工程成為軟件界研究的重點(diǎn)之一。

紫荊學(xué)生公寓位于清華大學(xué)清華園校區(qū)現(xiàn)有北圍墻外的北側(cè)。作為一個(gè)功能完整、設(shè)施齊備的學(xué)生生活專用小區(qū),建成后將與清華大學(xué)的清華園校區(qū)連成一片,成為清華大學(xué)的清華園校區(qū)的一個(gè)相對(duì)獨(dú)立的組成部分。根據(jù)網(wǎng)絡(luò)分析和校園網(wǎng)現(xiàn)有學(xué)生宿舍局域網(wǎng)的實(shí)際經(jīng)驗(yàn),紫荊公寓作為專用學(xué)生生活區(qū),其網(wǎng)絡(luò)應(yīng)用和需求有著自己明顯的特點(diǎn)。

2.2

網(wǎng)絡(luò)規(guī)模

2.2.1

物理范圍

清華大學(xué)紫荊學(xué)生公寓區(qū)占地28.42公頃,東西最大距離約850米,南北最大距離約450米。區(qū)內(nèi)建有學(xué)生公寓樓23棟,配套服務(wù)設(shè)施6棟,建筑總面積約39萬平方米。小區(qū)建成后可容納22400名學(xué)生入住。為保證區(qū)內(nèi)每個(gè)學(xué)生和管理人員的上網(wǎng)需要,區(qū)內(nèi)的計(jì)算機(jī)網(wǎng)絡(luò)必須覆蓋接通上述29棟建筑。

2.2.2

信息點(diǎn)數(shù)

為保證區(qū)內(nèi)每個(gè)學(xué)生的上網(wǎng)需要,除公寓內(nèi)每個(gè)住宿床位有一個(gè)網(wǎng)絡(luò)接入信息點(diǎn)外,在配套服務(wù)設(shè)施內(nèi)也布設(shè)一定數(shù)量的網(wǎng)絡(luò)接入信息點(diǎn)。另外,為滿足小區(qū)內(nèi)部管理工作的需要,在管理用房?jī)?nèi)也設(shè)置部分網(wǎng)絡(luò)接入信息點(diǎn)。具體如下：

本科生公寓樓：

13950點(diǎn)

研究生公寓樓：

4370點(diǎn)

繼續(xù)教育和留學(xué)生公寓樓：

4080點(diǎn)

管理用房約：

200點(diǎn)

配套服務(wù)設(shè)施約：

2400點(diǎn)

共計(jì)：

25000點(diǎn)

2.2.3

入網(wǎng)計(jì)算機(jī)數(shù)

從實(shí)際情況看,本科剛?cè)胄５男律蚴軐W(xué)校政策的限制計(jì)算機(jī)擁有量最低,約為30%。隨著在校時(shí)間的增加,到本科3、4年級(jí),計(jì)算機(jī)擁有量約為70%。研究生的計(jì)算機(jī)擁有量則在90%以上。而繼續(xù)教育學(xué)員和留學(xué)生的計(jì)算機(jī)擁有量都較高。目前的這個(gè)情況還受校內(nèi)現(xiàn)有住宿擁擠和網(wǎng)絡(luò)接入口少〔本科生每3人一個(gè)的影響。如果計(jì)算機(jī)擁有率按大一30%、大二50%、大三70%、大四80%、研究生90%、其他學(xué)生80%估算,本科生的平均計(jì)算機(jī)擁有率為：

<30%+50%+70%+80%>4=56%

若按此模型推算,紫荊學(xué)生公寓內(nèi)的計(jì)算機(jī)擁有量約為；

13950×58%+4370×90%+4080×80%

=8091+3933+2364

=15288〔臺(tái)

總平均擁有量為：

15288÷22400≈68.25

在學(xué)生入住紫荊學(xué)生公寓后居住擁擠和網(wǎng)絡(luò)接入點(diǎn)不夠的問題將會(huì)得到根本改善,屆時(shí)每個(gè)學(xué)生都有一個(gè)網(wǎng)絡(luò)接入插座和一個(gè)計(jì)算機(jī)機(jī)位。另外,隨著計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用范圍的不斷擴(kuò)大、必需的使用項(xiàng)目不斷增加和計(jì)算機(jī)絕對(duì)價(jià)位的不斷下降,可以預(yù)見學(xué)生的計(jì)算機(jī)將成為必備工具之一,其擁有量將有較大提高。如果沒有計(jì)算機(jī)的學(xué)生人數(shù)下降為現(xiàn)行的三分之一,則總計(jì)算機(jī)擁有率約為90%。相應(yīng)的計(jì)算機(jī)總臺(tái)數(shù)為：

22400×90%=20160〔臺(tái)

考慮到管理、服務(wù)和公共場(chǎng)合的應(yīng)用并考慮大約4%的冗余,紫荊學(xué)生公寓內(nèi)的計(jì)算機(jī)設(shè)計(jì)擁有量為21000臺(tái)。

2.2.4

同時(shí)在線計(jì)算機(jī)數(shù)

學(xué)生宿舍顯著特點(diǎn)之一就是生活模式的時(shí)間一致性極強(qiáng)。尤其是網(wǎng)絡(luò)使用時(shí)間上存在著明顯的集中上網(wǎng)高峰時(shí)間段,也就是說,學(xué)生宿舍局域網(wǎng)的高峰計(jì)算機(jī)在線率明顯高于城域網(wǎng)、企業(yè)網(wǎng)絡(luò)和寬帶小區(qū)。預(yù)計(jì)可以達(dá)到80%。照此計(jì)算,紫荊公寓在網(wǎng)絡(luò)使用高峰期時(shí),同時(shí)在線計(jì)算機(jī)數(shù)約為16800臺(tái)。

2.3

應(yīng)用需求

紫荊學(xué)生公寓作為學(xué)生的居住區(qū),其網(wǎng)絡(luò)應(yīng)用模式簡(jiǎn)單,絕大多數(shù)為客戶終端機(jī),同時(shí)有少量主要針對(duì)校內(nèi)的網(wǎng)絡(luò)資源服務(wù),例如FTP、BBS、視頻廣播等。網(wǎng)絡(luò)應(yīng)用的主要類型有：WWW瀏覽、FTP文件傳輸、收發(fā)電子郵件、在線視頻轉(zhuǎn)播和收看、多媒體課件、DHCP、實(shí)時(shí)身份認(rèn)與識(shí)別、電子商務(wù)客戶端、文件共享、在線實(shí)時(shí)網(wǎng)絡(luò)游戲等。

2.4

流量分析

網(wǎng)絡(luò)流量大是學(xué)生宿舍計(jì)算機(jī)網(wǎng)絡(luò)的特點(diǎn),它主要由三個(gè)方面原因造成。首先是每天流量的高峰使用期長(zhǎng),一般在早上9:00－次日1:00。這相當(dāng)于企業(yè)網(wǎng)絡(luò)〔高峰期在工作時(shí)間和寬帶小區(qū)〔高峰期在下班后的時(shí)間總和。其次是在線用戶數(shù)量多,遠(yuǎn)大于企業(yè)網(wǎng)絡(luò)用戶的20%和寬帶小區(qū)用戶的6%。最后和其他網(wǎng)絡(luò)用戶相比,學(xué)生的人均網(wǎng)絡(luò)流量相對(duì)更大。

2.5

帶寬需求

紫荊學(xué)生公寓局域網(wǎng)的用戶帶寬需求,可以根據(jù)用戶類型分為普通終端用戶和服務(wù)用戶兩類。普通終端用戶的網(wǎng)絡(luò)應(yīng)用又分為時(shí)實(shí)和非實(shí)時(shí)兩種。實(shí)時(shí)網(wǎng)絡(luò)應(yīng)用中對(duì)傳輸帶寬需求最大的是實(shí)時(shí)視頻傳輸。目前高質(zhì)量視頻流傳輸?shù)膸捫枨鬄?Mb/s。而對(duì)于低質(zhì)量的實(shí)時(shí)視頻傳輸,325Kb/s的就可以達(dá)到實(shí)用的要求。對(duì)于非實(shí)時(shí)網(wǎng)絡(luò)應(yīng)用,尤其是文件傳輸類的應(yīng)用,帶寬越大越好。而在1Mb/s帶寬下所有非實(shí)時(shí)網(wǎng)絡(luò)應(yīng)用均可順利進(jìn)行。然而在網(wǎng)絡(luò)的實(shí)際應(yīng)用中,用戶實(shí)際使用的帶寬取決于起點(diǎn)對(duì)傳輸路徑中所有連路中所能分得的最小帶寬和服務(wù)器的吞吐量,絕大多數(shù)在100～500Kb/s之間。所以,普通終端用戶的基本帶寬需求為每人1～2Mb/s。

對(duì)于服務(wù)用戶其所需帶寬越大越好,根據(jù)實(shí)際硬件情況通常為每臺(tái)服務(wù)器100Mb/s。特殊情況可以視實(shí)際資源和需求情況調(diào)整。

2.6

地址需求

紫荊學(xué)生公寓局域網(wǎng)的IP地址規(guī)劃遵循清華校園網(wǎng)地址規(guī)劃方案,全部使用合法的IP地址。

2.7

安全性需求

紫荊學(xué)生公寓局域網(wǎng)安全需求分為以下幾個(gè)方面或環(huán)節(jié)。這些需求又分別涉及物理環(huán)境安全、網(wǎng)絡(luò)傳輸、訪問控制、系統(tǒng)安全、應(yīng)用安全和安全管理等各種技術(shù)。

1.

網(wǎng)絡(luò)平臺(tái)的安全性和可靠性；

2.

傳輸數(shù)據(jù)的安全；

3.

實(shí)現(xiàn)全網(wǎng)統(tǒng)一的身份鑒別,能依據(jù)規(guī)則實(shí)施訪問控制；

4.

保證紫荊學(xué)生公寓局域網(wǎng)具有一整套完備的防病毒體系,能對(duì)病毒進(jìn)行實(shí)時(shí)響應(yīng)；

5.

保證紫荊學(xué)生公寓局域網(wǎng)具有一整套完備的入侵檢測(cè)體系,并提供漏洞掃描系統(tǒng),能對(duì)各種攻擊行為進(jìn)行實(shí)時(shí)響應(yīng)；

6.

在紫荊學(xué)生公寓局域網(wǎng)的出口邊界設(shè)置DDOS過濾器,以阻斷內(nèi)外之間的DDOS攻擊,減少惡意帶寬占用。

7.

當(dāng)網(wǎng)絡(luò)中發(fā)生安全性問題時(shí)能夠準(zhǔn)確地定位、找到相關(guān)責(zé)任人。

2.8

穩(wěn)定性需求

穩(wěn)定性是網(wǎng)絡(luò)十分重要和基本的性能需求,穩(wěn)定性作為一個(gè)綜合目標(biāo),要求設(shè)備自身的冗余特性和高性能；各層次鏈路的冗余性；以及二層和三層設(shè)計(jì)的冗余備份考慮。同時(shí)完整的網(wǎng)絡(luò)安全方案也是在受到各種攻擊時(shí)保證穩(wěn)定性的重要方面。穩(wěn)定性要求校園網(wǎng)在設(shè)計(jì)的負(fù)載容量?jī)?nèi)為主要用戶和主要網(wǎng)絡(luò)服務(wù)提供接近運(yùn)營(yíng)級(jí)別的不間斷服務(wù)。

2.9

可靠性需求

紫荊學(xué)生公寓局域網(wǎng)的可靠性通過采用可靠的組網(wǎng)技術(shù)、機(jī)房環(huán)境及對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)進(jìn)行嚴(yán)格管理來保證。組網(wǎng)技術(shù)方面主要要考慮以下三個(gè)問題：

鏈路可靠性：每個(gè)節(jié)點(diǎn)與其它節(jié)點(diǎn)之間通過不同路徑的多條線路連接,避免單路故障,提高網(wǎng)絡(luò)路徑冗余,線路應(yīng)盡可能使用不同的物理光纖鏈路；

設(shè)備可靠性：選用性能穩(wěn)定、可靠的設(shè)備。消除單點(diǎn)故障,使用設(shè)備的異地?zé)醾浞菁夹g(shù),保證網(wǎng)絡(luò)及業(yè)務(wù)的不間斷性；

路由可靠性：自動(dòng)選路和迂回,做到當(dāng)某部分網(wǎng)絡(luò)出現(xiàn)意外而發(fā)生通路切換時(shí),這些操作對(duì)上層業(yè)務(wù)主機(jī)是透明的。

機(jī)房環(huán)境則主要包括穩(wěn)定的不間斷電源、抗災(zāi)能力等

網(wǎng)絡(luò)運(yùn)營(yíng)管理包括合理的網(wǎng)絡(luò)管理系統(tǒng)及配套的管理制度。

2.10

可擴(kuò)展性需求

學(xué)生宿舍局域網(wǎng)在網(wǎng)絡(luò)建設(shè)完成后,網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和用戶數(shù)量的變化比較小。但是網(wǎng)絡(luò)應(yīng)用的發(fā)展和變化是肯定的,對(duì)網(wǎng)絡(luò)的性能要求必定是逐漸提高的。因此要求網(wǎng)絡(luò)建成后,能夠通過添加若干處理模塊或關(guān)鍵網(wǎng)絡(luò)設(shè)備而解決運(yùn)行中出現(xiàn)的局部性能不足的問題。

2.11

可管理性需求

在統(tǒng)一規(guī)劃的前提下,建設(shè)基于統(tǒng)一的網(wǎng)絡(luò)管理平臺(tái)的多級(jí)網(wǎng)管系統(tǒng),清晰地描述各級(jí)網(wǎng)絡(luò)管理系統(tǒng)的管理邊界、管理權(quán)限和管理接口；

1提供健全的設(shè)備管理,鏈路管理的網(wǎng)管平臺(tái)。

2采用專用的性能管理工具,監(jiān)控網(wǎng)絡(luò)性能,采集、分析網(wǎng)絡(luò)性能問題。

3采用完整的用戶認(rèn)證計(jì)費(fèi)系統(tǒng),實(shí)現(xiàn)全網(wǎng)的用戶管理。

4實(shí)現(xiàn)網(wǎng)絡(luò)管理的自動(dòng)化、制度化和規(guī)范化；

5建立具備良好可擴(kuò)充性的網(wǎng)管體系結(jié)構(gòu),適應(yīng)網(wǎng)絡(luò)規(guī)模的調(diào)整,支持對(duì)網(wǎng)管系統(tǒng)的二次開發(fā)或定制。

2.12

兼容性需求

首先,紫荊學(xué)生公寓區(qū)局域網(wǎng)建成后將交由校網(wǎng)絡(luò)中心統(tǒng)一負(fù)責(zé)運(yùn)行、維護(hù)和管理。因此它必須和校園網(wǎng)現(xiàn)行的運(yùn)行模式和管理體系相兼容。

其次,紫荊學(xué)生公寓區(qū)局域網(wǎng)將同時(shí)有鏈路直接與校園網(wǎng)和教育網(wǎng)互連。這一方面要求紫荊學(xué)生公寓區(qū)局域網(wǎng)所采用的網(wǎng)絡(luò)邊界設(shè)備必須與校園網(wǎng)和教育網(wǎng)有良好的相容性和互操作性。另一方面要求紫荊學(xué)生公寓區(qū)局域網(wǎng)所采用的網(wǎng)絡(luò)協(xié)議和有關(guān)系統(tǒng)配置必須與校園網(wǎng)和教育網(wǎng)相兼容。

另外,紫荊學(xué)生公寓區(qū)局域網(wǎng)中所采用的各類、各型設(shè)備之間必須具有良好的相容性和互操作性。

第三章

網(wǎng)絡(luò)總體方案

3.1

概述

3.1.1

校園主干網(wǎng)技術(shù)

目前,寬帶校園主干網(wǎng)絡(luò)建設(shè)主要采用IPoverFiber的技術(shù)路線,即交換機(jī)、路由器直接提供光接口,提供傳輸分幀和自愈恢復(fù)功能,無須使用SDH等光傳輸設(shè)備。目前IPoverFiber主要有三種形式：POS、RPR和以太網(wǎng)。IPoverFiber的主要缺點(diǎn)是獨(dú)占光纖資源。然而對(duì)于園區(qū)網(wǎng)而言,光纖的鋪設(shè)成本并不高,完全可以接受。在必須提高光纖利用率的場(chǎng)合,可以在追加投資的基礎(chǔ)上采用IPoverWDM技術(shù)來進(jìn)行光纖資源的放大。以下分別對(duì)POS、RPR、以太網(wǎng)和IPoverWDM技術(shù)做簡(jiǎn)要介紹。

POS

POS即IP／PPP／HDLCoverSDH／SONET。PPP按RFC1661的要求實(shí)現(xiàn)多協(xié)議封裝、錯(cuò)誤控制和鏈路初始化控制,把IP分組封裝以后,再按RFC1662的要求形成高層數(shù)據(jù)鏈路控制〔HDLC的幀以便定界,然后把該幀交給SDH／SONET處理后進(jìn)行傳輸。POS技術(shù)的優(yōu)點(diǎn)是傳輸速率和效率都很高。它支持OC-3〔STM-1155Mbps、OC-12〔STM-4622Mbps、OC-48〔STM-162.5Gbps,結(jié)合傳輸設(shè)備可達(dá)到OC-192〔STM-6410Gbps。POS的傳輸開銷約為2％。

盡管POS技術(shù)也采用SDH幀格式,需要將IP數(shù)據(jù)包裝入SDH幀,和IPoverSDH是一樣的,但POS省去了SDH傳輸層,從而可將部分OAM字節(jié)用來承載信息,節(jié)省了成本。相對(duì)于ATM,POS由于省去了ATM層而簡(jiǎn)化了網(wǎng)絡(luò)體系結(jié)構(gòu),基本保證了QoS,使得系統(tǒng)有能力直接支持基于IP的數(shù)據(jù)、話音、視頻傳輸并易于兼容不同技術(shù)體系和實(shí)現(xiàn)網(wǎng)間互聯(lián)。由于采用了SONET/SDH幀結(jié)構(gòu),POS可在所有主要的光纖傳輸網(wǎng)絡(luò)中運(yùn)轉(zhuǎn),包括：暗光纖、波分復(fù)用〔WDM、SONET／SDH點(diǎn)對(duì)點(diǎn)和環(huán)。這種結(jié)構(gòu)的透明性允許POS在一種混合的環(huán)境中應(yīng)用,例如,一個(gè)POS網(wǎng)絡(luò)可以有幾個(gè)節(jié)點(diǎn)用暗光纖連接,同時(shí)又有幾個(gè)節(jié)點(diǎn)通過SONET／SDH傳輸網(wǎng)和／或WDM設(shè)備相連接。POS技術(shù)的缺點(diǎn)是需要增加拆裝設(shè)備SAR,成本比較高。

RPR

〔Resilient

Packet

Ring又名彈性分組環(huán),標(biāo)準(zhǔn)由IEEE的802.17工作組制定。RPR環(huán)網(wǎng)具有雙環(huán)的拓?fù)浣Y(jié)構(gòu),兩環(huán)在結(jié)構(gòu)上對(duì)稱,方向上相反。一個(gè)節(jié)點(diǎn)可在某一方向環(huán)上發(fā)送數(shù)據(jù)包,在另一方向環(huán)上朝反方向發(fā)送控制包。雙環(huán)結(jié)構(gòu)保證兩條路徑可以到達(dá)同一目的節(jié)點(diǎn),且雙環(huán)可以同時(shí)工作。RPR采用了SONET／SDH幀結(jié)構(gòu),因此可在所有主要的光纖傳輸網(wǎng)絡(luò)中運(yùn)轉(zhuǎn),包括：暗光纖、波分復(fù)用〔WDM、SONET／SDH點(diǎn)對(duì)點(diǎn)和環(huán)。這種結(jié)構(gòu)的透明性允許RPR在一種混合的環(huán)境中應(yīng)用,例如,一個(gè)RPR環(huán)可以有幾個(gè)節(jié)點(diǎn)用暗光纖連接,同時(shí)又有幾個(gè)節(jié)點(diǎn)通過SONET／SDH和／或WDM設(shè)備相連接。目前,RPR產(chǎn)品的通信速率可達(dá)2.5Gbps。

以太網(wǎng)

以太網(wǎng)技術(shù)已經(jīng)從80年代初期的百米級(jí)網(wǎng)絡(luò)半徑向千米級(jí)和萬米級(jí)方向發(fā)展,技術(shù)的適用范圍從局域網(wǎng)擴(kuò)大到園區(qū)網(wǎng)乃至城域網(wǎng)。以太網(wǎng)組網(wǎng)靈活,價(jià)格便宜,最適合小型園區(qū)網(wǎng)的建設(shè)。按速率劃分,目前以太網(wǎng)可分為：十兆以太網(wǎng),主要用于桌面接入；百兆以太網(wǎng)〔FE,主要用于桌面接入和低速匯聚；千兆以太網(wǎng)〔GE,主要用于高速匯聚和主干連接；萬兆以太網(wǎng)〔10GE,這是目前最先進(jìn)的以太網(wǎng)技術(shù),用于新型主干網(wǎng)絡(luò)建設(shè)。目前,基于以太網(wǎng)的IPoverFiber技術(shù)主要指GEoverFiber,這也是目前許多校園主干網(wǎng)建設(shè)采用的技術(shù)路線。GEoverfiber的主要缺點(diǎn)是,相對(duì)POS〔2.5Gbps和RPR〔2.5Gbps而言,1Gbps的通信速率對(duì)光纖資源的利用率較低。

目前,萬兆位以太網(wǎng)〔10GE技術(shù)已經(jīng)成熟。10G以太網(wǎng)只工作在全雙工方式,可用單模或多模光纖,可采用的光波長(zhǎng)包括850nm、1300nm以及1550nm,與現(xiàn)行以太網(wǎng)技術(shù)兼容。在自愈恢復(fù)上,可通過MPLS技術(shù)達(dá)到等同于SDH環(huán)的自愈特性。10G以太網(wǎng)技術(shù)具有網(wǎng)絡(luò)結(jié)構(gòu)簡(jiǎn)單、成本低等諸多優(yōu)勢(shì),可進(jìn)行交換、路由,也可共享。目前所有的網(wǎng)絡(luò)互聯(lián)技術(shù),都完全與10G以太網(wǎng)兼容,正如它們與以太網(wǎng)和快速以太網(wǎng)兼容一樣。10G以太網(wǎng)技術(shù)的成熟,使得純以太網(wǎng)架構(gòu)成為大學(xué)校園網(wǎng)甚至城域網(wǎng)組網(wǎng)技術(shù)的重要發(fā)展趨勢(shì)。

IPoverWDM

將IPoverFiber改為IPoverWDM就可以把一根物理光纖作為多條邏輯光纖使用。實(shí)現(xiàn)的方式有兩種,即IPoverCWDM/和IPoverDWDM。

CWDM指稀疏波分復(fù)用系統(tǒng),在波長(zhǎng)復(fù)用間隔〔放寬到10nm左右方面區(qū)別于DWDM〔ITU標(biāo)準(zhǔn)為0.8nm。CWDM可以使用從1200～1600nm甚至更寬的窗口,這樣大大降低了系統(tǒng)的光器件成本,并可以利用大量的舊光纜,節(jié)省初期投資成本并解決了光纖的資源問題,CWDM系統(tǒng)在不同的波長(zhǎng)通道采用不同的傳輸速率。DWDM即密集波分復(fù)用系統(tǒng)。

3.1.2

基于WLAN的無線接入技術(shù)

寬帶校園網(wǎng)一般均采用以太網(wǎng)〔FE、GE接入技術(shù),對(duì)此不再贅述。然而為了實(shí)現(xiàn)可移動(dòng)性,提供更加便捷的網(wǎng)絡(luò)接入服務(wù),還必須輔以無線接入技術(shù)。

無線技術(shù)正成為互聯(lián)網(wǎng)的主要接入手段之一,包括MMDS等寬帶固定接入技術(shù),2G/3G移動(dòng)接入技術(shù),尤其是基于IEEE802.11協(xié)議簇的無線局域網(wǎng)〔WLAN接入技術(shù)。

以IEEE802.11協(xié)議簇為代表的無線局域網(wǎng)單元接入技術(shù)的成熟,使得以IP網(wǎng)絡(luò)作為核心構(gòu)建大規(guī)模無線局域網(wǎng)成為了可能。由于現(xiàn)有的無線局域網(wǎng)不僅能夠提供數(shù)十兆bps的帶寬,適合文本、圖像、語音、實(shí)時(shí)多媒體等多種應(yīng)用,而且組網(wǎng)方式靈活,適合體育場(chǎng)館、圖書館、教室、廣場(chǎng)等各種場(chǎng)合。WLAN的重要意義在于跨越了無線、高速、廉價(jià)等方面的障礙,徹底剪掉網(wǎng)絡(luò)的尾巴,提供無處不在的寬帶網(wǎng)絡(luò)服務(wù)和移動(dòng)漫游特性。

WLAN技術(shù)在許多場(chǎng)合可以取代傳統(tǒng)的有線接入網(wǎng)絡(luò)或擴(kuò)展其范圍和功能。在大樓內(nèi),無線傳輸功能可以實(shí)現(xiàn)移動(dòng)式計(jì)算。在筆記本或手提式PC機(jī)中安裝一塊PC卡無線網(wǎng)卡后,用戶可以在接入網(wǎng)絡(luò)的同時(shí)自由地移動(dòng)。桌面PC機(jī)也可以根據(jù)需要方便地部署在任何地方。WLAN部署在室外,則可以實(shí)現(xiàn)無線校園。目前,一些廠商甚至提供了基于WLAN的校園移動(dòng)解決方案。

WLAN也可以作為長(zhǎng)距離點(diǎn)對(duì)點(diǎn)連接的解決方案。使用傳統(tǒng)的銅線或光纜來在不同大樓間建立橋接時(shí),高速公路、湖泊以及城市規(guī)劃政策都有可能成為不可逾越的障礙。因此,在沒有無線解決方案的情況下,用戶經(jīng)常不得不租用電信專線來連接多個(gè)LAN,安裝成本通常很高,且要耗費(fèi)較長(zhǎng)時(shí)間,尤其是要負(fù)擔(dān)每月的專線租用費(fèi)用。借助無線網(wǎng)橋,則可以方便實(shí)現(xiàn)相距數(shù)英里乃至數(shù)十英里距離的網(wǎng)絡(luò)連接,無線網(wǎng)橋可在購買的當(dāng)天安裝,安裝成本與T1/E1相當(dāng),但卻是一次性投資,部署完畢后,不需要支付月租費(fèi)用。

3.1.3

組播通信技術(shù)

隨著網(wǎng)絡(luò)傳輸能力的極大提高,校園網(wǎng)上產(chǎn)生許多新的應(yīng)用。如網(wǎng)絡(luò)視頻會(huì)議、網(wǎng)絡(luò)音頻/視頻廣播、AOD/VOD、多媒體遠(yuǎn)程教育等,這將帶來網(wǎng)絡(luò)帶寬的急劇消耗和網(wǎng)絡(luò)擁塞。解決這個(gè)問題的最佳答案是應(yīng)用組播技術(shù)。IP組播技術(shù)是下一代互聯(lián)網(wǎng)的重要技術(shù)之一。作為一種組內(nèi)廣播技術(shù),組播技術(shù)由于其在相同傳輸路徑上的不重復(fù)占用帶寬的特點(diǎn),為大規(guī)模用戶共享實(shí)時(shí)數(shù)據(jù)尤其是流媒體數(shù)據(jù)提供了可能。

1999年,Sprint建立起全球第一個(gè)支持nativemulticast的、開放的全國(guó)性主干網(wǎng),支持多種多媒體應(yīng)用的實(shí)現(xiàn)和研究。Abliene為美國(guó)下一代高速網(wǎng)絡(luò)Internet2支撐起了一個(gè)組播實(shí)驗(yàn)環(huán)境,支持組播技術(shù)研究和下一代應(yīng)用研究,它與Mbone、vBNS、NREN、DREN、Esnet、CANARIE、TEN-155/34〔DANTE、NORDUnet、SurfNet及APAN等支持組播的世界其它的下一代ISP實(shí)現(xiàn)了互通。目前,中國(guó)教育和科研計(jì)算機(jī)網(wǎng)教育網(wǎng)的主干網(wǎng)已經(jīng)開通基于組播的視頻會(huì)議系統(tǒng)。

3.1.4

新型網(wǎng)絡(luò)應(yīng)用

新一代校園網(wǎng)應(yīng)用將具有現(xiàn)行網(wǎng)絡(luò)所沒有的特征,包括大規(guī)模高性能多媒體通信、遠(yuǎn)程實(shí)時(shí)操作與控制、移動(dòng)漫游、共享式虛擬現(xiàn)實(shí)等。典型應(yīng)用包括HDTV、遠(yuǎn)程教育、遠(yuǎn)程沉浸〔Tele-immersion和虛擬社區(qū)等。下面給出幾個(gè)Internet2應(yīng)用試驗(yàn)的快照。

圖2

視頻網(wǎng)格

圖3

遠(yuǎn)程沉浸〔Tele-immersion

圖4

CAVE

3.1.5

國(guó)內(nèi)外一流大學(xué)校園網(wǎng)典型案例介紹

IndianaUniversity

美國(guó)Indiana大學(xué)由7個(gè)校園組成〔其中Bloomington和Indianapolis的2個(gè)校園相對(duì)較大,入網(wǎng)計(jì)算機(jī)15000臺(tái)。

Indiana大學(xué)校園網(wǎng)采用三層體系結(jié)構(gòu)：

Bbackbone：連接不同校區(qū),采用了GE、GETrunk、POS等多種技術(shù)；

Interbuilding：連接建筑群,主要采用GE技術(shù)；

Desktop/Intrabuilding：樓內(nèi)局域網(wǎng),10M/100M到桌面。

下圖是Indiana大學(xué)校園網(wǎng)主干網(wǎng)示意圖。Indiana大學(xué)同時(shí)也是美國(guó)下一代互聯(lián)網(wǎng)Internet2的網(wǎng)絡(luò)運(yùn)行中心所在地,并建有一個(gè)Internet2的GigaPOP。各校區(qū)的網(wǎng)絡(luò)可通過高速光纖線路連接GigaPOP,從而實(shí)現(xiàn)與Internet2的高速連接。

圖：美國(guó)Indiana大學(xué)校園網(wǎng)主干網(wǎng)

Indiana大學(xué)校園網(wǎng)支持以下先進(jìn)的網(wǎng)絡(luò)應(yīng)用：

遠(yuǎn)程教學(xué)；

數(shù)字圖書館；

網(wǎng)絡(luò)培訓(xùn)；辦公自動(dòng)化,如學(xué)生注冊(cè),員工管理等；

虛擬現(xiàn)實(shí)〔CAVE；其它多媒體應(yīng)用,如數(shù)字音樂圖書館,VOD,視頻會(huì)議等。

上述系統(tǒng)在校園網(wǎng)上的分布如下圖所示。

圖：信息系統(tǒng)分布

3.1.6

StanfordUniversity

美國(guó)Stanford大學(xué)校園網(wǎng)總體投資超過5千萬美元,所有主干線路全部采用雙連接,連接類型為GETrunk,設(shè)計(jì)容量為72,000用戶,百兆到桌面。整個(gè)校園分成九個(gè)區(qū),每區(qū)設(shè)一個(gè)匯聚中心。如下表所示。

Stanford大學(xué)校園網(wǎng)主干網(wǎng)拓?fù)浣Y(jié)構(gòu)如下圖所示。

圖：StanfordUniversity校園主干網(wǎng)

如圖,整個(gè)主干網(wǎng)基于純以太網(wǎng)架構(gòu),所有線路均為雙連接,連接類型為GETrunk,具有卓越的性能和服務(wù)質(zhì)量保障。局域網(wǎng)接入主干的方式如下圖示。

圖：StanfordUniversity校園接入網(wǎng)

如圖,為保證多媒體應(yīng)用的質(zhì)量,接入設(shè)備選擇了CISCO6000系列高檔交換機(jī),為每個(gè)桌面提供一個(gè)CISCO6000系列交換機(jī)端口。

StanfordUniversity校園網(wǎng)上的應(yīng)用系統(tǒng)包括：OA、遠(yuǎn)程教育、流媒體服務(wù)、IP等。StanfordUniversity最具特色的網(wǎng)絡(luò)應(yīng)用是容量為65,000個(gè)端口的IP系統(tǒng),具備QoS保障。

本章給出計(jì)算機(jī)網(wǎng)絡(luò)的整體設(shè)計(jì)方案?；驹O(shè)計(jì)原則是：高性能,高負(fù)載能力,對(duì)DOS攻擊具有較高承受力,穩(wěn)定性強(qiáng),建設(shè)和管理成本低,結(jié)構(gòu)簡(jiǎn)明并契合樓宇和信息點(diǎn)分布。

主要設(shè)計(jì)內(nèi)容包括：網(wǎng)絡(luò)的層次劃分、拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)、帶寬設(shè)計(jì)、路由設(shè)計(jì)、IP地址規(guī)劃、可靠性設(shè)計(jì)、基本網(wǎng)絡(luò)服務(wù)設(shè)計(jì)等。首先確定網(wǎng)絡(luò)的層次劃分和拓?fù)浣Y(jié)構(gòu),然后自頂向下逐層給出設(shè)計(jì)方案,最后給出設(shè)備選型方案。

3.1.7

紫荊學(xué)生公寓局域網(wǎng)技術(shù)

綜合考慮系統(tǒng)性能和建造成本以及清華校園網(wǎng)和教育網(wǎng)的現(xiàn)行技術(shù),紫荊學(xué)生公寓局域網(wǎng)采用以太網(wǎng)技術(shù)體系。其中主干網(wǎng)采用成熟的10Gb/Gb以太網(wǎng)技術(shù),接入子網(wǎng)采用100M快速以太網(wǎng)技術(shù)。

3.2

網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)

3.2.1

層次劃分

根據(jù)清華校園網(wǎng)已有宿舍區(qū)的網(wǎng)絡(luò)拓?fù)?理論上,紫荊公寓宿舍區(qū)可分為5個(gè)層次

樓層接入：樓宇設(shè)備間內(nèi)直接連接用戶墻上信息插座的交換機(jī)。

樓層匯聚：樓宇設(shè)備間內(nèi)匯聚多臺(tái)樓層接入交換機(jī)流量的交換機(jī)。

設(shè)備間匯聚：匯聚本設(shè)備間內(nèi)多臺(tái)樓宇匯聚交換機(jī)流量的交換機(jī)。

地區(qū)匯聚：匯聚多個(gè)設(shè)備間的樓宇匯聚交換機(jī)流量的交換機(jī)。

核心：全網(wǎng)的數(shù)據(jù)交換核心設(shè)備,同時(shí)連接教育網(wǎng)和校園網(wǎng)。

根據(jù)實(shí)際情況,我們認(rèn)為：

樓層匯聚交換機(jī)的作用不大且數(shù)量過少,因此以通過增加設(shè)備間匯聚設(shè)備端口數(shù)量的方法去掉此層；

地區(qū)匯聚與核心設(shè)備數(shù)量接近,且園區(qū)面積不大,可以合并此二層；

綜上所述,對(duì)分層模型做如下設(shè)計(jì)：所有網(wǎng)絡(luò)設(shè)備劃分為三層：核心層,匯聚層和接入層。其中,核心層設(shè)備和匯聚層設(shè)備共同構(gòu)成紫荊公寓網(wǎng)絡(luò)的主干網(wǎng),設(shè)備間內(nèi)的匯聚設(shè)備和接入層設(shè)備共同構(gòu)成本地接入子網(wǎng)。

3.2.2

層次定義和功能

<1>

核心層

核心層設(shè)備提供各個(gè)非直連設(shè)備間之間的高速互聯(lián)并提供到校園網(wǎng)及教育網(wǎng)的高速出口。核心層由高性能的核心設(shè)備和高速冗余的鏈路構(gòu)成,實(shí)現(xiàn)數(shù)據(jù)的高速轉(zhuǎn)發(fā)和負(fù)載均衡功能及部分必需的邊界功能。

<2>

匯聚層

匯聚層向上連接核心層,向下匯聚接入層,是主干網(wǎng)絡(luò)和用戶局域網(wǎng)的邊界。匯聚層由高性能的匯聚設(shè)備和高速冗余的鏈路構(gòu)成,實(shí)現(xiàn)數(shù)據(jù)的高速轉(zhuǎn)發(fā)、負(fù)載均衡、流量控制、應(yīng)用中繼、用戶網(wǎng)關(guān)等功能。

<3>

接入層

接入層直接連接用戶的桌面計(jì)算機(jī),是紫荊學(xué)生公寓局域網(wǎng)的邊緣。接入層由穩(wěn)定的接入設(shè)備和高速鏈路構(gòu)成,實(shí)現(xiàn)用戶數(shù)據(jù)的高速轉(zhuǎn)發(fā),流量控制,用戶認(rèn)證等功能。

3.2.3

拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)

出于網(wǎng)絡(luò)可靠性和穩(wěn)定性考慮,主干網(wǎng)拓?fù)洳捎枚喹h(huán)結(jié)構(gòu)。核心層由3臺(tái)核心設(shè)備構(gòu)成10G的環(huán)狀連接。每臺(tái)核心誰匯聚臨近的10～15個(gè)設(shè)備間流量。匯聚層由設(shè)備間匯聚設(shè)備構(gòu)成,每個(gè)設(shè)備間的匯聚設(shè)備用1條GE鏈路上連到鄰近的核心設(shè)備,用另1條GE鏈路與鄰近設(shè)備間內(nèi)的匯聚設(shè)備的GE鏈路互連。主干網(wǎng)的拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)如下圖所示。

出于成本考慮,同時(shí)綜合考慮性能需求,接入子網(wǎng)采用星型拓?fù)浣Y(jié)構(gòu)。接入層采用二層交換機(jī)以10M/100M完成用戶接入,同時(shí)以1個(gè)100M鏈路完成到本設(shè)備間匯聚設(shè)備的上連。接入子網(wǎng)的拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)如下圖所示。

3.3

核心層設(shè)計(jì)

單從技術(shù)上看,小規(guī)模核心層采用二層設(shè)備或三層設(shè)備都有可能。然而實(shí)際上,現(xiàn)在的核心層設(shè)備已經(jīng)全是三層設(shè)備。核心層采用三層設(shè)備有利于簡(jiǎn)化網(wǎng)絡(luò)結(jié)構(gòu)、更好地進(jìn)行網(wǎng)絡(luò)隔離。紫荊學(xué)生公寓局域網(wǎng)的核心層由3臺(tái)三層核心交換機(jī)構(gòu)成。每臺(tái)分別匯聚臨近的10～15個(gè)設(shè)備間的數(shù)據(jù)流量。每臺(tái)核心設(shè)備通過2個(gè)10G端口和相鄰的核心設(shè)備連接。整個(gè)紫荊學(xué)生公寓局域網(wǎng)的核心層構(gòu)成10G的高速環(huán)路。

核心層的3臺(tái)三層核心交換機(jī)平均每臺(tái)完成8000～10000個(gè)網(wǎng)絡(luò)接入信息點(diǎn)的會(huì)聚,極限情況下可為跨核心設(shè)備的用戶之間互訪提供至少1M/人的帶寬。

3.4

匯聚層設(shè)計(jì)

紫荊學(xué)生公寓局域網(wǎng)的匯聚層為設(shè)備間匯聚設(shè)備。根據(jù)校園網(wǎng)已有宿舍區(qū)局域網(wǎng)的經(jīng)驗(yàn)和網(wǎng)絡(luò)技術(shù)的發(fā)展,在匯聚層使用三層交換機(jī)。匯聚層使用三層交換機(jī)的具體考慮如下：

設(shè)備間的點(diǎn)數(shù)為400－900之間,相應(yīng)分成多個(gè)子網(wǎng),三層交換機(jī)可以做各子網(wǎng)之間的路由。

設(shè)備間采用三層交換機(jī)可以阻截廣播包的擴(kuò)散、提高網(wǎng)絡(luò)效率,減小核心設(shè)備上的二層壓力。

便于在線式負(fù)載均衡冗余鏈路的布設(shè)與連接。

匯聚層的上聯(lián)采用雙GE鏈路,出于成本的原因,其中一條連到核心設(shè)備,另一條連到鄰近的設(shè)備間。當(dāng)其中的任一連路中斷時(shí),所有數(shù)據(jù)可以經(jīng)另一條連路傳輸,提高了網(wǎng)絡(luò)的可靠性。

極限情況下,當(dāng)一個(gè)設(shè)備間內(nèi)的所有用戶同時(shí)需要訪問外邊時(shí),匯聚設(shè)備可提供至少1.1～2.5M/人的外部訪問帶寬。而若50%的應(yīng)用為帶寬占用不超過500Kb/s的低速應(yīng)用,則高速應(yīng)用則可獲得1.7～3.8M/人的外部訪問帶寬。

3.5

接入層設(shè)計(jì)

接入層由二層交換機(jī)構(gòu)成,10/100M下聯(lián)端口接到用戶的桌面。出于降低投資的目的,接入層交換機(jī)采用100M端口上聯(lián)接到設(shè)備間的匯聚交換機(jī)。由于不同型號(hào)的交換機(jī)間的連路聚合大多實(shí)現(xiàn)得不理想,出于可靠性和降低投資的考慮,接入層交換機(jī)采用單100M連路上連。

極限情況下,單臺(tái)接入層交換機(jī)如果采用24口產(chǎn)品,至少可以提供大于4M/人的上連帶寬,大于設(shè)備間的最低極限出口帶寬3倍以上。如或采用采用36口或48口產(chǎn)品,則上述極限最小帶寬分別大于2.5M/人和2M/人,均大于設(shè)備間的最低極限出口帶寬。如果考慮組播方式下的視頻應(yīng)用,完全可以滿足帶寬需求。

3.6

網(wǎng)絡(luò)互聯(lián)設(shè)計(jì)

紫荊學(xué)生公寓局域網(wǎng)對(duì)外連接兩個(gè)網(wǎng)絡(luò)：清華大學(xué)校園網(wǎng)和教育網(wǎng)。選擇兩個(gè)位于不同地區(qū)的核心設(shè)備作為邊界路由器,每臺(tái)邊界路由器各有一條10G鏈路到清華大學(xué)校園網(wǎng),一條GE鏈路到教育網(wǎng)。因此到校園網(wǎng)共有兩條10G連接,到教育網(wǎng)有兩條GE連接。

紫荊學(xué)生公寓局域網(wǎng)和校園網(wǎng)從整體上看是一個(gè)網(wǎng)絡(luò)自治域,考慮應(yīng)用統(tǒng)一的IGP路由協(xié)議進(jìn)行路由交換。即紫荊學(xué)生公寓局域網(wǎng)的核心層環(huán)路屬于校園網(wǎng)OSPF的Area0。

紫荊學(xué)生公寓局域網(wǎng)到教育網(wǎng)的出口作為紫荊學(xué)生公寓局域網(wǎng)到Internet的主出口。紫荊學(xué)生公寓局域網(wǎng)作為教育網(wǎng)的下聯(lián)單位,由教育網(wǎng)在其接口路由器上設(shè)置網(wǎng)絡(luò)出口策略。通常紫荊學(xué)生公寓局域網(wǎng)的出口路由器設(shè)置缺省路由到教育網(wǎng)路由器。

紫荊學(xué)生公寓局域網(wǎng)和現(xiàn)有校園網(wǎng)可以看作清華校園網(wǎng)的兩個(gè)部分,各自有獨(dú)立的Internet出口。因此還需要考慮當(dāng)網(wǎng)絡(luò)出口故障時(shí),互為備份的功能。當(dāng)紫荊學(xué)生公寓局域網(wǎng)到教育網(wǎng)的鏈路故障時(shí),紫荊學(xué)生公寓局域網(wǎng)和Internet之間的流量可以通過動(dòng)態(tài)路由協(xié)議從校園網(wǎng)出入。當(dāng)校園網(wǎng)到教育網(wǎng)的鏈路故障時(shí),校園網(wǎng)和Internet之間的流量可以通過動(dòng)態(tài)路由協(xié)議從紫荊學(xué)生公寓局域網(wǎng)出入。

3.7

VLAN設(shè)計(jì)

3.7.1

用戶VLAN

用戶VLAN終結(jié)在設(shè)備間匯聚設(shè)備的下聯(lián)端口。用戶VLAN部的范圍限制在設(shè)備間內(nèi)部的設(shè)備上,不跨接入交換機(jī)也不跨設(shè)備間,全部在本設(shè)備間的匯聚設(shè)備上截止。以上設(shè)計(jì)主要基于以下的考慮：

減小廣播域和廣播傳輸路徑,降低廣播開銷

增強(qiáng)網(wǎng)絡(luò)隔離性

分散二層網(wǎng)絡(luò)開銷避免二層回路與交叉

便于故障隔離與排查保持?jǐn)?shù)據(jù)規(guī)率性和適宜的大小便于管理

3.7.2

管理VLAN

管理VLAN用于二層接入交換機(jī)的管理,各個(gè)二層交換機(jī)的管理IP單獨(dú)組成子網(wǎng)。管理VLAN與用戶VLAN相分離,其主要目的是使用戶數(shù)據(jù)與交換機(jī)各管理數(shù)據(jù)相分離,以提高網(wǎng)絡(luò)設(shè)備的可控制性和系統(tǒng)安全性。與用戶VLAN相同的是,管理VLAN同樣終結(jié)在本設(shè)備間的匯聚設(shè)備上。

3.8

IP子網(wǎng)設(shè)計(jì)

3.8.1

用戶接入子網(wǎng)

用戶接入子網(wǎng)基于用戶VLAN構(gòu)建,與用戶VLAN相對(duì)應(yīng)。用戶接入子網(wǎng)按用戶數(shù)定義,以1個(gè)C的IP地址為一個(gè)標(biāo)準(zhǔn)子網(wǎng)大小。

以上設(shè)計(jì)主要基于以下的考慮：

減小廣播域,降低廣播開銷

增強(qiáng)網(wǎng)絡(luò)隔離性

節(jié)約IP地址,減少IP地址零頭降低維護(hù)工作量和

便于故障隔離與排查保持?jǐn)?shù)據(jù)規(guī)率性和適宜的大小便于管理

由于每個(gè)設(shè)備間的介入信息點(diǎn)數(shù)在400～900不等,因此最后一個(gè)用戶子網(wǎng)平均會(huì)有半個(gè)C,128個(gè)IP空閑。此剩余IP地址將根據(jù)實(shí)際情況用于樓內(nèi)的服務(wù)器子網(wǎng)或管理子網(wǎng)。

3.8.2

管理子網(wǎng)

管理子網(wǎng)基于管理VLAN構(gòu)建,與管理VLAN相對(duì)應(yīng)。管理子網(wǎng)的大小取決于單個(gè)設(shè)備間內(nèi)的接入交換機(jī)的數(shù)量。由于單個(gè)設(shè)備間中的接入交換機(jī)數(shù)量在30～40之間,所以管理子網(wǎng)必須占用64個(gè)IP地址。低IP地址利用率的目的是避免VLAN跨設(shè)備間。

3.8.3

互連子網(wǎng)

僅用于3層交換機(jī)之間的互連鏈路,一般不用VLAN支持。

3.9

IP地址分配

按測(cè)算紫荊學(xué)生公寓局域網(wǎng)約有40個(gè)設(shè)備間。如果采用24口100M交換機(jī)作接入設(shè)備,則每10臺(tái)接入交換機(jī)230個(gè)接入點(diǎn)構(gòu)成1個(gè)用戶接入子網(wǎng)。由此IP地址基本需求、分配如下。

3.9.1

用戶地址

紫荊學(xué)生公寓局域網(wǎng)共有25000個(gè)接入信息點(diǎn)。至少有108個(gè)用戶接入子網(wǎng),共需IP108C。40個(gè)設(shè)備間,平均每個(gè)設(shè)備間半個(gè)C的地址零頭,共計(jì)20個(gè)C。因此用戶子網(wǎng)需要IP地址共128個(gè)C。

3.9.2

管理地址

管理地址用于網(wǎng)絡(luò)設(shè)備的管理標(biāo)識(shí)。紫荊學(xué)生公寓共25000個(gè)網(wǎng)絡(luò)接入信息點(diǎn),至少需接入交換機(jī)1087臺(tái)。平均每個(gè)設(shè)備間有1臺(tái)接入交換機(jī)的接口有一半空閑,40個(gè)設(shè)備間有20臺(tái)空閑。即總共需要接入交換機(jī)1107臺(tái)。按每35臺(tái)交換機(jī)占用64個(gè)IP計(jì)算,共需2024個(gè)IP地址,8個(gè)C。另外40臺(tái)匯聚設(shè)備和3臺(tái)核心設(shè)備應(yīng)該是獨(dú)立的寬利接口,每個(gè)占用4個(gè)地址,共需IP地址172個(gè),1個(gè)C。

3.9.3

互連地址

具體互連鏈路有20條匯聚間互連,40條設(shè)備層到核心層互連,4個(gè)出口連接,共64條連路。需要互連IP地址256個(gè),1個(gè)C。

3.9.4

網(wǎng)絡(luò)中心

紫荊學(xué)生公寓區(qū)網(wǎng)絡(luò)中心內(nèi)的辦公、管理、服務(wù)等設(shè)備至少需要兩個(gè)子網(wǎng),使用1個(gè)C的IP地址。

3.9.5

管理辦法

紫荊學(xué)生公寓局域網(wǎng)的IP地址管理辦法參照清華校園網(wǎng)的IP地址管理辦法執(zhí)行。

3.10

路由設(shè)計(jì)

3.10.1

路由協(xié)議選擇

紫荊學(xué)生公寓局域網(wǎng)采用動(dòng)態(tài)路由協(xié)議,考慮和校園網(wǎng)的兼容和運(yùn)行成本,選用OSPFv2作為IGP路由協(xié)議。紫荊學(xué)生公寓局域網(wǎng)的OSPF是校園網(wǎng)的一部分,核心層作為Area0,連接校園網(wǎng)的核心設(shè)備。

3.10.2

路由協(xié)議配置

紫荊學(xué)生公寓局域網(wǎng)共有43臺(tái)路由設(shè)備,超過了1個(gè)OSPF域的建議數(shù)量,應(yīng)該做分區(qū)處理。3臺(tái)核心設(shè)備作為ABR,屬于Area0和本地Area。40臺(tái)匯聚層設(shè)備屬于其所上鏈的核心設(shè)備的本地Area。

匯聚層設(shè)備的OSPF配置使用OSPF的PassiveInterface特性,配置用戶接入子網(wǎng)。這樣用戶接入子網(wǎng)網(wǎng)段成為本地區(qū)Area的內(nèi)部路由而不是外部注入類型路由,其鏈路狀態(tài)變化僅在本Area內(nèi)傳播,有利于紫荊學(xué)生公寓局域網(wǎng)OSPF數(shù)據(jù)庫的穩(wěn)定性。

3.10.3

Metric設(shè)置

紫荊學(xué)生公寓局域網(wǎng)所有運(yùn)行OSPF的網(wǎng)絡(luò)設(shè)備采用統(tǒng)一的OSPF路由量度〔metric標(biāo)準(zhǔn),以達(dá)到準(zhǔn)確的路由。量度與端口帶寬的關(guān)系為：

量度<cost>=參考帶寬<referencebandwidth>/端口帶寬<interfacebandwidth>

考慮到一定的擴(kuò)展性,統(tǒng)一使用100Gbps作為參考帶寬,量度與端口帶寬的對(duì)應(yīng)表為：

端口帶寬<Interfacebandwidth>

量度<Cost>

100Gbps

1

10Gbps

10

1000Mbps

100

100Mbps

1000

自動(dòng)設(shè)定Cost參考值后,可以根據(jù)實(shí)際的流量情況和需要,對(duì)部分線路的Cost進(jìn)行手工控制。

對(duì)于重新分布到OSPF內(nèi)的其他路由協(xié)議,也需要對(duì)其Metric類型和數(shù)值進(jìn)行設(shè)定：

StaticRoute：E1類型,Cost為100

ConnectRoute：E1類型,Cost為20

3.10.4

IP地址聚合

地址聚合有利于屏蔽底層鏈路動(dòng)蕩對(duì)全網(wǎng)的影響。減小路由表的條目數(shù)量。根據(jù)OSPF路由協(xié)議,有兩種類型的地址聚合：

內(nèi)部地址聚合：在ABR上將Area內(nèi)部連續(xù)的IP地址網(wǎng)段聚合后,廣播到其他Area。

外部地址聚合：在ASBR上將外部重分布的連續(xù)的IP地址網(wǎng)段聚合后,廣播到所有Area。

紫荊學(xué)生公寓局域網(wǎng)主要為內(nèi)部地址聚合。以2個(gè)C〔掩碼/23為單位進(jìn)行地址聚合。

3.11

可靠性設(shè)計(jì)

高可靠性是紫荊學(xué)生公寓局域網(wǎng)的設(shè)計(jì)目標(biāo)之一。

高可靠性設(shè)計(jì)通過多種層次的技術(shù)特性實(shí)現(xiàn)：

設(shè)備可靠性,核心層設(shè)備具有多種關(guān)鍵部件冗余〔管理模塊,交換矩陣,電源,風(fēng)扇,線卡在線插拔等高冗余特性。

鏈路可靠性,利用匯聚和核心之間的多條鏈路實(shí)現(xiàn)。

路由可靠性,在鏈路層進(jìn)行冗余配置之后,利用動(dòng)態(tài)路由協(xié)議OSPF,充分利用多鏈路的條件,根據(jù)情況實(shí)行負(fù)載均衡或備份。OSPF協(xié)議能夠在鏈路發(fā)生故障后,及時(shí)檢測(cè)到并進(jìn)行路由收斂,發(fā)現(xiàn)新的路徑,及時(shí)更新域間的路由表項(xiàng),從而確保全網(wǎng)互連的可靠性。利用動(dòng)態(tài)路由協(xié)議的ECMP,GracefulRestart特性。

3.12

基本網(wǎng)絡(luò)服務(wù)

基本網(wǎng)絡(luò)服務(wù)是指域名服務(wù)、電子郵件、目錄服務(wù)及文件傳輸?shù)然贗nternet技術(shù)的公用服務(wù)。紫荊學(xué)生公寓局域網(wǎng)作為清華校園網(wǎng)的一部分,在校園網(wǎng)有完備的網(wǎng)絡(luò)服務(wù)情況下,應(yīng)考慮充分利用現(xiàn)有網(wǎng)絡(luò)服務(wù)設(shè)施,減少運(yùn)行和管理成本。

3.12.1

域名服務(wù)DNS

域名服務(wù)〔或稱域名解析服務(wù)是網(wǎng)絡(luò)的基本服務(wù)之一。它建立了主機(jī)名到IP地址的映射關(guān)系,是WWW,FTP,電子郵件及其它因特網(wǎng)服務(wù)的基礎(chǔ)。

紫荊學(xué)生公寓局域網(wǎng)的DNS服務(wù)可以通過清華校園網(wǎng)現(xiàn)有的DNS服務(wù)器完成。

如果考慮到較多的域名查詢流量,可以在紫荊學(xué)生公寓局域網(wǎng)架設(shè)1－2臺(tái)DNS服務(wù)器,完成紫荊學(xué)生公寓局域網(wǎng)的DNS服務(wù)。紫荊學(xué)生公寓局域網(wǎng)的DNS服務(wù)器可以同時(shí)作為整個(gè)校園網(wǎng)DNS服務(wù)的備份。

<1>

紫荊公寓網(wǎng)絡(luò)域名原則

紫荊公寓IP地址采用靜態(tài)分配方式,主機(jī)均注冊(cè)域名和反向域名。

紫荊公寓主機(jī)域名：帳號(hào).<zjsld>.

紫荊公寓反向域名：所有的靜態(tài)地址都注冊(cè)反向域名

<2>

紫荊公寓網(wǎng)絡(luò)域名服務(wù)設(shè)計(jì)

從紫荊公寓網(wǎng)絡(luò)域名服務(wù)的高質(zhì)量、可靠性和安全性角度考慮,對(duì)紫荊公寓網(wǎng)絡(luò)的域名服務(wù)作如下基本配置。

<3>

服務(wù)器功能劃分

域名服務(wù)從功能劃分為：DNS服務(wù)器和用戶解析服務(wù)器兩部分。DNS服務(wù)器提供紫荊公寓的<zjsld>.和等域名數(shù)據(jù)庫服務(wù)。解析服務(wù)器主要對(duì)紫荊公寓的用戶提供訪問Internet時(shí)的域名解析服務(wù)。

<4>

服務(wù)器數(shù)量和位置分布

紫荊公寓網(wǎng)絡(luò)的域名服務(wù)器數(shù)量設(shè)計(jì)為4臺(tái)。其分布如下：

2臺(tái)<zjsld>.和等域名服務(wù)：

一臺(tái)主域名服務(wù)器位于紫荊公寓網(wǎng)絡(luò)主干.

一臺(tái)輔助域名服務(wù)器位于清華大學(xué)校園網(wǎng)主干。

2臺(tái)域名解析服務(wù)器:

一臺(tái)解析服務(wù)器位于紫荊公寓網(wǎng)絡(luò)主干

一臺(tái)解析服務(wù)器位于清華大學(xué)校園網(wǎng)主干。

域名服務(wù)器的合理分布,有助于：

a.服務(wù)可靠性和容錯(cuò)能力,即便某臺(tái)域名服務(wù)器停止工作時(shí),所有的查詢請(qǐng)求會(huì)自動(dòng)轉(zhuǎn)發(fā)給其他的域名服務(wù)器。

b.負(fù)載均衡,提高響應(yīng)速度。各臺(tái)服務(wù)器都能夠響應(yīng)所有的查詢請(qǐng)求,分擔(dān)服務(wù)負(fù)載,減少響應(yīng)時(shí)間。

c.服務(wù)有效性。整個(gè)系統(tǒng)在物理上合理分布,當(dāng)部分網(wǎng)絡(luò)發(fā)生故障時(shí),仍可以保持域名的有效性。

<5>

紫荊公寓網(wǎng)絡(luò)域名服務(wù)系統(tǒng)配置

紫荊公寓網(wǎng)絡(luò)用戶域名解析服務(wù)：

服務(wù)器：8;8;

ACL:

aclcan_query

{

/19;/16;

;};

紫荊公寓網(wǎng)絡(luò)DNS域名服務(wù)

域:<zjsld>.;;

服務(wù)器：0;0;

ACL:

aclcan_transfer

{

8/30;

//Tsinghua

8/30;//Zijing

;};

對(duì)DNS有關(guān)端口在路由網(wǎng)關(guān)上作ACL設(shè)置,以便對(duì)域名服務(wù)器作基本的訪問控制,進(jìn)一步增強(qiáng)域名服務(wù)系統(tǒng)安全性。

3.12.2

郵件服務(wù)MailService

紫荊學(xué)生公寓局域網(wǎng)的郵件服務(wù)利用校園網(wǎng)現(xiàn)有的郵件服務(wù)體系。

動(dòng)態(tài)主機(jī)配置DHCPService

紫荊學(xué)生公寓局域網(wǎng)的IP地址分配策略以固定IP地址配置為主,只有在個(gè)別地區(qū)如活動(dòng)中心和無線網(wǎng)絡(luò)中,移動(dòng)用戶對(duì)動(dòng)態(tài)IP地址分配有一定需求。因此,建議使用校園網(wǎng)現(xiàn)有的DHCP服務(wù)器。

3.12.3

目錄服務(wù)DirectoryService

所謂目錄服務(wù)〔DirectoryService指的是將因特網(wǎng)上用戶或組織的信息〔稱為屬性以層次結(jié)構(gòu)、面向?qū)ο蟮臄?shù)據(jù)庫方式加以收集和管理,為網(wǎng)上其它應(yīng)用提供共享服務(wù)。使用目錄服務(wù)具有的優(yōu)點(diǎn)是：它便于對(duì)用戶信息進(jìn)行統(tǒng)一管理,保證了數(shù)據(jù)一致性和完整性。對(duì)用戶來講,目錄服務(wù)就象一個(gè)豐富的網(wǎng)上號(hào)碼簿〔黃頁,用戶可以通過任何一個(gè)瀏覽器查詢所需要的信息,享受各類服務(wù)。例如一個(gè)密碼只需一次登錄<SingleSignOn>,就可以修改自己的文件和設(shè)置、申請(qǐng)/訂閱服務(wù)、下載電子證書等。

Internet有關(guān)目錄服務(wù)的標(biāo)準(zhǔn)協(xié)議是LDAP〔LightweightDirectoryAccessProtocol,輕量級(jí)目錄存取協(xié)議。目錄服務(wù)可與一些功能類似的應(yīng)用程序很好地結(jié)合使用。例如與DNS〔域名服務(wù)系統(tǒng),NIS〔網(wǎng)絡(luò)信息系統(tǒng)以及Radius〔身份認(rèn)證系統(tǒng)的標(biāo)準(zhǔn)協(xié)議等。

類似與郵件和域名服務(wù),可以首先考慮使用校園網(wǎng)統(tǒng)一的LDAP服務(wù)器。

3.12.4

增值服務(wù)－組播服務(wù)

IP組播技術(shù)對(duì)于像視頻會(huì)議、遠(yuǎn)程教育和實(shí)時(shí)訓(xùn)練等應(yīng)用來說非常適合。在一些技術(shù)領(lǐng)先的企業(yè)網(wǎng)絡(luò)和校園網(wǎng)IP組播已經(jīng)得到了廣泛的運(yùn)用。清華校園網(wǎng)根據(jù)網(wǎng)絡(luò)設(shè)備能力和實(shí)際拓?fù)?面向校園網(wǎng)用戶,提供IP組播服務(wù)。

紫荊學(xué)生公寓局域網(wǎng)作為校園網(wǎng)一部分,應(yīng)該在網(wǎng)絡(luò)各層次支持組播服務(wù)。IP組播作為一種典型的IP網(wǎng)絡(luò)應(yīng)用,主要依靠網(wǎng)絡(luò)對(duì)組播提供支持。其中主要包括以下部分：

主機(jī)－路由器〔網(wǎng)關(guān)的組播支持：IGMPv1,IGMPv2

二層的組播支持：IGMPSnoop,GAMP,CGMP

三層的組播支持：多種組播路由協(xié)議,主要為PIM－SM

組播源的管理和組播用戶認(rèn)證管理由清華網(wǎng)絡(luò)中心統(tǒng)一進(jìn)行。

3.13

設(shè)備選型

3.13.1

核心層設(shè)備

核心層設(shè)備不僅承擔(dān)各個(gè)不相鄰設(shè)備間之間的數(shù)據(jù)傳輸而且還是整個(gè)紫荊學(xué)生公寓局域網(wǎng)的出口邊界。所選擇的設(shè)備在滿足必要性能要求的同時(shí),還要具備高安全可靠性、高處理性能、高端口密度。出于穩(wěn)定性和可靠性的考慮,系統(tǒng)的處理能力應(yīng)該有較大冗余度。

隨著千兆以太網(wǎng)端口成為設(shè)備間交換機(jī)的標(biāo)準(zhǔn)配置,在大型園區(qū)網(wǎng)的核心,高性能的10GE核心路由交換機(jī)已經(jīng)成為未來2年的技術(shù)趨勢(shì)。同時(shí),數(shù)據(jù)存儲(chǔ)業(yè)務(wù)快速發(fā)展,網(wǎng)格計(jì)算等新興業(yè)務(wù)促使10G核心交換機(jī)取代千兆時(shí)代體系結(jié)構(gòu)的交換機(jī),在園區(qū)網(wǎng)、城域網(wǎng)主干,數(shù)據(jù)中心等不同網(wǎng)絡(luò)發(fā)揮骨干作用。

系統(tǒng)功能與性能

1.

采用模塊式處理結(jié)構(gòu)

2.

背板和交換引擎總帶寬應(yīng)≥160Gbps

3.

實(shí)際負(fù)載下包轉(zhuǎn)發(fā)總能力應(yīng)≥52Mpps

4.

線卡內(nèi)、線卡間全線速轉(zhuǎn)發(fā)

5.

打開所有高級(jí)特性后仍能線速轉(zhuǎn)發(fā)

6.

最大CPU路由能力≥256Kpps

7.

最高端口密度：

1>

≥6個(gè)10GE接口

2>

≥48個(gè)GE接口

8.

主控板若采用主付備份冗余方式,則主付主控板倒換期間業(yè)務(wù)不中斷。

9.

電源系統(tǒng)采用N+1熱備份冗余配置,任一電源失效不能影響設(shè)備正常運(yùn)轉(zhuǎn)。

10.

MAC地址表深度≥32K項(xiàng)

11.

路由轉(zhuǎn)發(fā)表深度≥64K項(xiàng)

12.

路由轉(zhuǎn)發(fā)表項(xiàng)為主機(jī)和網(wǎng)絡(luò)可選

13.

支持TCP/IP協(xié)議

14.

支持鏈路聚集

1>

最大鏈路聚集個(gè)數(shù)≥6個(gè)

2>

每個(gè)鏈路聚集的最大端口個(gè)數(shù)≥6個(gè)

15.

支持802.1qVLAN

1>

可同時(shí)支持的VLAN個(gè)數(shù)≥2K個(gè)

2>

各VLAN可使用的VLANIDTag數(shù)?≤4K

3>

一個(gè)端口可同時(shí)屬于?多個(gè)802.1QTagVLAN和一個(gè)無?TagVLAN

4>

一個(gè)VLAN可以同時(shí)包含多個(gè)Tag及非Tag物理端口

5>

一個(gè)VLAN可對(duì)應(yīng)多個(gè)IP端口

6>

支持VLAN透?jìng)鞴δ?/p>

7>

支持SingleInstanceSpanningTree或PVST

16.

支持RIP、OSPF、BGP等動(dòng)態(tài)路由協(xié)議,支持多缺省路由

17.

支持端口IP地址的包含

18.

支持VRRP虛擬路由冗余協(xié)議

19.

支持IGMP、PIM-SM/DM、DVMRP等多種組播協(xié)議

20.

無擁塞時(shí)鏈路延時(shí)≤1ms

21.

端口傳輸隊(duì)列使用率<50%時(shí)無丟包

22.

支持WRED擁塞避免技術(shù)

23.

無頭端阻塞

24.

端口發(fā)生持續(xù)性擁塞時(shí)的利用率應(yīng)≥99%

25.

支持針對(duì)物理端口、VLAN、IP端口的按地址、協(xié)議、應(yīng)用〔協(xié)議端口,含ICMP類型進(jìn)行的訪問控制

26.

每端口可應(yīng)用的訪問控制表規(guī)則項(xiàng)≥1K項(xiàng)

27.

支持針對(duì)物理端口、VLAN端口、IP地址、應(yīng)用協(xié)議、廣播等數(shù)據(jù)流的帶寬預(yù)留、帶寬限制、優(yōu)先級(jí)等QoS控制

28.

支持IP隧穿技術(shù)

29.

支持目標(biāo)端口流量按方向分別鏡像

30.

支持按比例的端口鏡像

31.

應(yīng)提供標(biāo)準(zhǔn)的管理接口

32.

支持SNMPV2、ROMII協(xié)議

33.

支持網(wǎng)管系統(tǒng)的配置、故障、性能、安全等方面所需的管理能力

34.

支持CPU利用率、內(nèi)存分配、傳輸隊(duì)列、端口利用率等性能參數(shù)的查詢

35.

支持路由表、系統(tǒng)轉(zhuǎn)發(fā)表FIB、RIB查詢與長(zhǎng)度調(diào)節(jié)

36.

支持MAC表查詢及靜態(tài)MAC表項(xiàng)設(shè)置

37.

支持特定數(shù)據(jù)流統(tǒng)計(jì)、計(jì)數(shù)

38.

支持對(duì)本機(jī)的訪問控制和安全連接

39.

有良好的兼容性和互操作性,與主流產(chǎn)品〔路由器、以太網(wǎng)交換機(jī)、傳輸設(shè)備能穩(wěn)定、可靠地互連互通

40.

可支持下聯(lián)內(nèi)網(wǎng)側(cè)20000臺(tái)主機(jī)同時(shí)在線

支持端口及介質(zhì)

1.

10GE端口：光纖

2.

GE端口：1000BASE-SX〔50um,62.5um、1000BASE-LX〔10um

3.

POS端口：OC-48c/STM-16c、OC-192c/STM-64c

遵從標(biāo)準(zhǔn)與協(xié)議

物理接口

IEEEStd802.3ae

PhysicalLayer,andManagementParametersfor10Gb/sOperation2002

IEEEStd802.3z

MediaAccessControlParameters,PhysicalLayers,RepeaterandManagementParametersfor1,000Mb/sOperation,1998

數(shù)據(jù)連路

IEEEStd802.3

Carriersensemultipleaccesswithcollisiondetection<CSMA/CD>

IEEEStd802.1D

STP

IEEEStd802.1d

Bridging

IEEEStd802.3x

FlowControl1999

IEEEStd802.1Q

VirtualBridgedLocalAreaNetworks

IEEEStd802.3ac

FrameExtensionsforVLANTaggingon802.3Networks

IEEE802.3ad

LinkAggregation

IEEEStd802.1p

TrafficClassExpeditingandDynamicMulticastFiltering2000

IEEEStd802.1s

MultipleSpanningTrees2002

IEEEStd802.1v

VLANClassificationbyProtocolandPort2001

IEEEStd802.1w

RapidReconfiguration2001

IEEEStd802.1x

PortBasedNetworkAccessControl2001

網(wǎng)絡(luò)路由

RFC2328

OpenShortestPathFirst,Version2<OSPFv2>

RFC2453

RIPVersion2

RFC1771

BorderGatewayProtocol4<BGP-4>

RFC2796

BGPRouteReflection<UpdatesRFC1966>

RFC1966

BGPRouteReflectionAnalternativetofullmeshIBGP

RFC1997

BGPCommunitiesAttribute

RFC2439

BGPRouteFlapDamping

RFC1657

DefinitionsofManagedObjectsforBGP-4

RFC1142