系統(tǒng)集成需求分析

1、網(wǎng)絡(luò)工程設(shè)計與系統(tǒng)集成 石家莊鐵道大學(xué) 網(wǎng)絡(luò)工程設(shè)計與系統(tǒng)集成 信1103-2班組長：常永生組員： 段向陽 張興有 李永亮 郭 頌 郭 茂 鄭 亮 齊 備第二實驗樓網(wǎng)絡(luò)需求分析說明書目錄1：需求分析概述31.1系統(tǒng)所在地的地理布局31.2網(wǎng)絡(luò)區(qū)域環(huán)境分析31.3網(wǎng)絡(luò)系統(tǒng)功能概述32：網(wǎng)絡(luò)系統(tǒng)整體結(jié)構(gòu)圖43綜合布線設(shè)計43.1建筑群子系統(tǒng)43.2垂直子系統(tǒng)53.3水平子系統(tǒng)：63.4設(shè)備間子系統(tǒng)64 網(wǎng)絡(luò)系統(tǒng)分層構(gòu)建74.1 ： 各分層構(gòu)建74.2： 設(shè)備選型91、 中心三層交換機(jī)92、 每樓層二層交換機(jī)115：綜合布線系統(tǒng)保護(hù)141，過壓與過流的保護(hù)142，干擾和輻射的保護(hù)143，綜合布線系統(tǒng)

2、接地154 ，防火墻需求166 系統(tǒng)測試與檢測166.1 雙絞線測試內(nèi)容166.2 光纜系統(tǒng)的測試166.3系統(tǒng)的安全性測試187 項目成本預(yù)算18第二部分：19服務(wù)器配置與網(wǎng)絡(luò)鏈路通信19A：服務(wù)器配置19B:網(wǎng)絡(luò)鏈路的配置20第一部分：項目需求詳解1：需求分析概述1.1系統(tǒng)所在地的地理布局第二實驗樓為信息學(xué)院綜合辦公場所，內(nèi)有會議室，自習(xí)室，教師辦公室，研究生培養(yǎng)室，實驗室，值班室，設(shè)備間等房間，集會議，學(xué)習(xí)，教學(xué)于一體，入駐人員多，網(wǎng)絡(luò)需求各異。1.2網(wǎng)絡(luò)區(qū)域環(huán)境分析根據(jù)辦公用途和網(wǎng)絡(luò)需求的不同，可以將第二實驗樓網(wǎng)絡(luò)區(qū)域劃分為一下幾個區(qū)域：教師辦公區(qū)域，實驗室區(qū)域，教室區(qū)域，會議室區(qū)域。

3、1.3網(wǎng)絡(luò)系統(tǒng)功能概述第二實驗樓各區(qū)域網(wǎng)絡(luò)需求各異，網(wǎng)絡(luò)集成設(shè)計的目的是對計算機(jī)系統(tǒng)進(jìn)行統(tǒng)一設(shè)計布線，實現(xiàn)內(nèi)部系統(tǒng)環(huán)境的集中管理；營造穩(wěn)定，高效，安全的學(xué)習(xí)和辦公環(huán)境，為師生提供開放靈活的信息通道；創(chuàng)建內(nèi)部交互和外部訪問功能，實現(xiàn)各網(wǎng)絡(luò)域間訪問和對internet的訪問；終端桌面應(yīng)具有一定的帶寬，能流暢下載各類資源；網(wǎng)絡(luò)系統(tǒng)應(yīng)具有防火墻等設(shè)置，能在一定程度上抵御外部的惡意攻擊；系統(tǒng)在一定時期后，應(yīng)能根據(jù)新的設(shè)備需求或用戶需求對網(wǎng)絡(luò)進(jìn)行升級換代。網(wǎng)絡(luò)系統(tǒng)應(yīng)遵循EIA/TIA-568A等行業(yè)標(biāo)準(zhǔn)。2：網(wǎng)絡(luò)系統(tǒng)整體結(jié)構(gòu)圖3綜合布線設(shè)計3.1建筑群子系統(tǒng)建筑群子系統(tǒng)提供外部建筑物與大樓內(nèi)布線的連接點，

4、由兩個以上建筑物的電話、數(shù)據(jù)和監(jiān)視系統(tǒng)組成一個建筑群綜合布線系統(tǒng)，其連接各建筑之間的纜線和設(shè)備，組成建筑群子系統(tǒng)。建筑群子系統(tǒng)支持樓宇之間的通信所需的硬件其中包括導(dǎo)線、光纖及防止電纜上的脈沖電壓進(jìn)入建筑物的電氣保護(hù)裝置。從第九實驗樓到第二實驗樓距離超過一百米，應(yīng)采用多模光纜，為防止雷擊的影響，最好采取地下管道敷設(shè)的方式，安裝時應(yīng)該預(yù)留2-4個備用管孔，以供擴(kuò)充之用。光纜長度應(yīng)大于第二實驗樓到第九實驗樓的實際直線距離+第二實驗樓的三樓的高度+10m3.2垂直子系統(tǒng)垂直子系統(tǒng)提供建筑物的垂直電纜，負(fù)責(zé)連接管理子系統(tǒng)和設(shè)備間子系統(tǒng)并提供建筑物垂直電纜布線路由及各連接電纜。干線系統(tǒng)應(yīng)選擇干線電纜較短，

5、安全和經(jīng)濟(jì)的路由，干線電纜的位置應(yīng)盡可能位于建筑物的中心位置，纜線不應(yīng)布放在電梯、供水、供氣、供暖、強(qiáng)電籌豎井中。學(xué)院樓三樓值班室、學(xué)院樓二層的205和四層的信工畢設(shè)組成垂直子系統(tǒng)，該子系統(tǒng)的垂直高度為16米，按照實際情況應(yīng)分配20-22米光纜，且實行路由最短原則。注： 1.垂直電纜的拐彎處不要直角拐彎，應(yīng)該有弧度以防電纜受損。2垂直電纜要安裝在PVC管內(nèi)或槽內(nèi)，架空電纜邀防止雷擊。3每層樓及整幢大樓都要有防雷擊設(shè)施.3.3水平子系統(tǒng)：水平子系統(tǒng)是從RJ-45插座開始到管理子系統(tǒng)的配線柜，且水平子系統(tǒng)總是在一個樓層上，并與信息插座連接，能支持大多數(shù)現(xiàn)代化通信設(shè)備，如果需要高寬帶應(yīng)用可以采用光纜

6、。水平子系統(tǒng)根據(jù)整個綜合布線系統(tǒng)的要求，應(yīng)在二級交接間、交接間或設(shè)備間的配線設(shè)備上進(jìn)行連接，以構(gòu)成電話、數(shù)據(jù)、電視系統(tǒng)和監(jiān)視系統(tǒng)，并方便地進(jìn)行管理。一般采用UTP雙絞線，長度不超過90米。且必須敷設(shè)線槽或在天花板吊頂內(nèi)布線，不提倡敷設(shè)地面線槽。線纜長度計算方法：（最長+最短線纜長度）/2=平均長度總長度=平均長度+冗余長度（平均長度的10%）+端接容差（一般為6米）*信息點總數(shù)3.4設(shè)備間子系統(tǒng)設(shè)備間子系統(tǒng)安裝在計算機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)和程控機(jī)系統(tǒng)的主機(jī)房內(nèi)，設(shè)備間設(shè)置在每一幢大樓的適當(dāng)?shù)攸c，由綜合布線系統(tǒng)的建筑物進(jìn)線設(shè)備、電話、數(shù)據(jù)、交換機(jī)等各種通信設(shè)備及其配線設(shè)備組成。設(shè)備間的理想位置應(yīng)處在建

7、筑物內(nèi)綜合布線系統(tǒng)干線網(wǎng)絡(luò)的中間位置。一般常位于地下室或一、二層，并應(yīng)盡量靠近建筑物內(nèi)的引入通信線路處，以便與屋內(nèi)外各種通信設(shè)備和網(wǎng)絡(luò)接口連接，所以通信線路的引入處和通信設(shè)備以及網(wǎng)絡(luò)接口的間距，一般不宜超過15m。 學(xué)院樓三層為設(shè)備間，其中存放路由器，交換機(jī)，和各種服務(wù)器。設(shè)備間的面積應(yīng)空余出一部分以方便以后添加設(shè)備，要有良好的溫濕度環(huán)境和清潔環(huán)境，設(shè)備間應(yīng)按機(jī)房建設(shè)標(biāo)準(zhǔn)設(shè)計要有良好的接地保護(hù)系統(tǒng)4 網(wǎng)絡(luò)系統(tǒng)分層構(gòu)建 4.1 ： 各分層構(gòu)建 4.2： 設(shè)備選型1、 中心三層交換機(jī)華為S5700-24TP-SI(AC)詳細(xì)參數(shù) 參考價格：￥4808主要參數(shù)產(chǎn)品類型千兆以太網(wǎng)交換機(jī)應(yīng)用層級三層傳輸

8、速率10/100/1000Mbps交換方式存儲-轉(zhuǎn)發(fā)背板帶寬256Gbps包轉(zhuǎn)發(fā)率36MppsMAC地址表16K端口參數(shù)端口結(jié)構(gòu)非模塊化端口數(shù)量28個端口描述24個10/100/1000Base-T端口，4個100/1000Base-X千兆Combo口擴(kuò)展模塊1個堆疊擴(kuò)展插槽傳輸模式全雙工/半雙工自適應(yīng)功能特性網(wǎng)絡(luò)標(biāo)準(zhǔn)IEEE 802.3，IEEE 802.3u，IEEE 802.3ab，IEEE 802.3z，IEEE 802.3x，IEEE 802.1Q，IEEE 802.1d，IEEE 802.1X堆疊功能可堆疊VLAN支持4K個VLAN支持Guest VLAN、Voice VLAN支持

9、基于MAC/協(xié)議/IP子網(wǎng)/策略/端口的VLAN支持1:1和N:1 VLAN交換功能組播管理支持IGMP v1/v2/v3 Snooping和快速離開機(jī)制支持VLAN內(nèi)組播轉(zhuǎn)發(fā)和組播多VLAN復(fù)制支持捆綁端口的組播負(fù)載分擔(dān)支持可控組播基于端口的組播流量統(tǒng)計2、 每樓層二層交換機(jī)華為S2700-26TP-SI(AC)詳細(xì)參數(shù) 參考價格：￥1471主要參數(shù)產(chǎn)品類型智能交換機(jī)應(yīng)用層級二層傳輸速率10/100Mbps交換方式存儲-轉(zhuǎn)發(fā)背板帶寬32Gbps包轉(zhuǎn)發(fā)率6.6MppsMAC地址表8K端口參數(shù)端口結(jié)構(gòu)非模塊化端口數(shù)量26個端口描述24個10/100Base-TX端口，2個千兆Combo口傳輸模式

10、全雙工/半雙工自適應(yīng)功能特性網(wǎng)絡(luò)標(biāo)準(zhǔn)IEEE 802.3，IEEE 802.3u，IEEE 802.3ab，IEEE 802.3z，IEEE 802.3x，IEEE 802.1Q，IEEE 802.1d，IEEE 802.1X堆疊功能可堆疊VLAN支持IEEE 802.1Q（VLAN），整機(jī)支持4K個VLAN支持基于端口的VLAN組播管理支持IGMP v1/v2/v3 Snooping支持捆綁端口的組播負(fù)載分擔(dān)支持基于端口的組播流速率限制和流量統(tǒng)計支持端口1:1或N:1鏡像路由器選型:華為AR1220-S參考價格 4000選擇理由:支持路由策略，靜態(tài)路由，RIP，OSPF協(xié)議,支持VRRP+M

11、STP的配置,適合工作環(huán)境環(huán)境溫度 040°C,背板帶寬8Gbps,均符合該實驗要求,價格較為合理交換機(jī)選型：華為S2700-26TP-SI參考價格:1471VLAN：支持IEEE 802.1Q（VLAN），整機(jī)支持4000個VLAN,生成樹協(xié)議配置,工作溫度-5-55,均符合實驗要求,支持MAC地址過濾可以限制使用網(wǎng)絡(luò)的機(jī)器5：綜合布線系統(tǒng)保護(hù) 1，過壓與過流的保護(hù)綜合布線系統(tǒng)保護(hù)的目的，是為了減小電氣故障對綜合布線的電纜和相關(guān)連接硬件的損壞，同事避免終端設(shè)備或器件的損壞，保障系統(tǒng)的正常運行。 室外通信電纜進(jìn)入建筑物時，通常在入口處經(jīng)過一次轉(zhuǎn)接進(jìn)入室內(nèi)。在轉(zhuǎn)接處應(yīng)加裝電氣保護(hù)設(shè)備，

12、這樣可以避免因電纜受到雷擊產(chǎn)生感應(yīng)電勢或電力線路接觸而給用戶設(shè)備帶來損壞。電氣保護(hù)主要分為過壓保護(hù)和過流保護(hù)，這些保護(hù)裝置通常安裝在建筑物入口的專用房間或墻面上。綜合布線的過壓保護(hù)可選用氣體放電管保護(hù)器或固態(tài)保護(hù)器。氣體放電管保護(hù)器使用斷開或放電間隙來限制導(dǎo)體和地之間的電壓。放電間隙由粘在陶瓷外殼內(nèi)密封的兩個金屬電柱形成，并充有惰性氣體。兩個電極之間的電位差超過交流250V或雷電浪涌電壓超過700V時，氣體放電管出現(xiàn)電弧，為導(dǎo)體和地電極之間提供一條導(dǎo)電通路。 固態(tài)保護(hù)器盒有較低的擊穿電壓（6090V），而且其電路中不能有振鈴電壓。它利用電子電路將過量的有害電壓泄放至地，而不影響電纜的傳輸質(zhì)量。

13、固態(tài)保護(hù)器是一種電子開關(guān)，在未到達(dá)擊穿電壓前，可進(jìn)行穩(wěn)定的電壓箝位；一旦超過擊穿電壓，它便將電壓引入地面。綜合布線系統(tǒng)除了采用過壓保護(hù)外，還同時采用過流保護(hù)。過流保護(hù)器一般都采用有自動恢復(fù)功能的保護(hù)器。2，干擾和輻射的保護(hù)電磁干擾和輻射是整個應(yīng)用系統(tǒng)的問題，由綜合布線電纜引起的干擾只是其中的一部分，而且輻射能量與發(fā)送信號的電壓與頻率有關(guān)。采用屏蔽是為了在有干擾的環(huán)境下保證綜合布線通道的傳輸性能。屏蔽包括兩方面，一方面是減少電纜本身向外輻射的能量，另一個方面是提高電纜抗外來電磁干擾的能力。綜合布線的整體性能取決于應(yīng)用系統(tǒng)中最薄弱的電纜和相關(guān)連接硬件性能及其連接工藝。在綜合布線中，最薄弱的環(huán)節(jié)是配

14、線架與電纜連接部件以及信息插座與插頭的接觸部位。3，綜合布線系統(tǒng)接地綜合布線電纜和相關(guān)連接硬件接地是提高網(wǎng)絡(luò)系統(tǒng)可靠性、抑制噪聲、保障安全的重要手段。綜合布線系統(tǒng)機(jī)房和設(shè)備的接地，按不同作用分為直流工作接地、交流工作接地、安全保護(hù)接地、防雷保護(hù)接地、防靜電接地、屏蔽接地等。如果接地系統(tǒng)處理不當(dāng)，不僅會帶來安全問題，還會影響網(wǎng)絡(luò)設(shè)備的穩(wěn)定性，引起故障，甚至毀壞網(wǎng)絡(luò)設(shè)備。上述前四種接地方式接地之間的距離應(yīng)大于25m，尤其要使防雷裝置與其他接地體之間保持足夠的距離。接地系統(tǒng)的接地電阻越小越好。根據(jù)國家規(guī)范要求，在建筑樓入口區(qū)、高層建筑的樓層設(shè)備間、配線間都應(yīng)設(shè)置接地裝置。綜合布線引入電纜的屏蔽層必須

15、連接到建筑物入口區(qū)的接地裝置上，干線電纜的屏蔽層應(yīng)采用大于4平方毫米的多股銅線，連接到設(shè)備間或配線間的接地裝置上，而且干線電纜的屏蔽層必須保持連續(xù)。樓層安裝的各個配線柜（架）應(yīng)采用適當(dāng)截面的絕緣銅導(dǎo)線單獨布線至就近的等電位接地裝置，也可采用豎井內(nèi)等電位接地銅排（銅排是一種大電流導(dǎo)電產(chǎn)品，適用于高低壓電器、開關(guān)觸頭、配電設(shè)備、母線槽等電器工程）引到建筑物共用接地裝置銅導(dǎo)線的截面應(yīng)符合要求?？傊?，綜合布線系統(tǒng)的保護(hù)對于網(wǎng)絡(luò)安全、可靠運行起著重要作用。以GB 50311-2007綜合布線系統(tǒng)工程設(shè)計規(guī)范標(biāo)準(zhǔn)進(jìn)行綜合布線的保護(hù)。4 ，防火墻需求網(wǎng)絡(luò)邊界防御需要添加一些安全設(shè)備來保護(hù)進(jìn)入網(wǎng)絡(luò)的每個訪問。

16、這些安全設(shè)備要么阻塞、要么篩選網(wǎng)絡(luò)流量來限制網(wǎng)絡(luò)活動，或者僅僅允許一些固定的網(wǎng)絡(luò)地址在固定的端口上可以通過網(wǎng)管員的網(wǎng)絡(luò)邊界。這些邊界安全設(shè)備就叫做防火墻。防火墻阻止試圖對組織內(nèi)部網(wǎng)絡(luò)進(jìn)行掃描，阻止企圖闖入網(wǎng)絡(luò)的活動，防止外部進(jìn)行拒絕服務(wù)（DoS）攻擊，禁止一定范圍內(nèi)黑客利用因特網(wǎng)來探測用戶內(nèi)部網(wǎng)絡(luò)行為。阻塞和篩選規(guī)則由網(wǎng)管員所在機(jī)構(gòu)的安全策略來決定。防火墻能夠把網(wǎng)絡(luò)中的各個段隔離開并進(jìn)行保護(hù)。. 服務(wù)器與服務(wù)器之間，工作站與工作站之間，服務(wù)器與工作站之間都需要設(shè)置防火墻 6 系統(tǒng)測試與檢測 6.1 雙絞線測試內(nèi)容 1.雙絞線端接圖測試 2.線纜長度測試 3.衰減測試 4近端串?dāng)_測試.6.2 光

17、纜系統(tǒng)的測試1.測試前對所有的光連接器進(jìn)行清洗，并將測試接收器校準(zhǔn)至0.2.測試包括對整個光線鏈路的衰減進(jìn)行測試。光纖鏈路的反射測量以確定鏈路長度及故障點位置。3.測試時在兩端對光纜逐芯進(jìn)行測試，在一端對兩芯光纜進(jìn)行環(huán)回測試。4.光纜鏈路系統(tǒng)指標(biāo)應(yīng)符合設(shè)計要求。5.光纜布線鏈路在規(guī)定的傳輸窗口測量出的最大衰減不能超過規(guī)定范圍。光纜布線鏈路的衰減布線鏈路長度（m）衰減（dB）單模光纜多模光纜1310nm1550nm850nm1300n水平1002.2建筑物主干5002.6建筑物主干15003.66.光纜布線鏈路的任一接口測出的光回波損耗值大于

18、表中的值。最小光回波損耗類別單模光纜多模光纜波長1310nm1550nm850nm1300n光回波損耗26 dB26 dB20dB20 B6.3 系統(tǒng)的安全性測試系統(tǒng)訪問的安全性測試對數(shù)據(jù)或業(yè)務(wù)功能的訪問，在預(yù)期的安全性情況下，操作者只能訪問應(yīng)用程序的特定功能、有限的數(shù)據(jù)。其測試是核實操作者只能訪問其所屬用戶類型已被授權(quán)訪問的那些功能。操作系統(tǒng)的安全測試 可確保只有具備系統(tǒng)訪問權(quán)限的用戶才能訪問應(yīng)用程序，而且只能通過相應(yīng)的網(wǎng)關(guān)來訪問，包括對系統(tǒng)的登錄或遠(yuǎn)程訪問。數(shù)據(jù)庫安全測試無關(guān)ip 禁止訪問 用戶密碼為強(qiáng)命令 用戶賦予適當(dāng)權(quán)限網(wǎng)絡(luò)環(huán)境安全測試主要檢測的是系統(tǒng)所在局域網(wǎng)內(nèi)的網(wǎng)絡(luò)環(huán)境的的安全設(shè)置

19、 7 項目成本預(yù)算（一層與四層）設(shè)備:中心三層交換機(jī) 數(shù)量：2臺 單價：4808元 /臺 小計：9616元設(shè)備:二層交換機(jī) 數(shù)量: 5臺 單價: 1471元 /臺 小計：7355元設(shè)備:雙絞線 長度：305m 價格：750元 設(shè)備:配線架 數(shù)量：2臺 單價: 1505元 /臺 小計：3010元設(shè)備:水晶頭 數(shù)量：1盒 單價: 108元/盒 小計：108元設(shè)備:插口面板 數(shù)量：10 單價: 8元 小計：80元多模光纖： 長度：170米 單價：7元/米 小計：1190元 （AMP1664166-5室外用鎧裝型光纖 ）工人工資: #合計：22109+#第二部分：網(wǎng)絡(luò)鏈路與服務(wù)器配置A：服務(wù)器配置服務(wù)

20、器類型： DNS服務(wù)器，F(xiàn)TP服務(wù)器，數(shù)據(jù)庫服務(wù)器，WEB服務(wù)器內(nèi)容： 1：各服務(wù)器的選型原則 2：服務(wù)器的配置步驟 3：服務(wù)器的測試B:網(wǎng)絡(luò)鏈路的配置配置要求與項目規(guī)劃1：每層的路由器，交換機(jī)，PC機(jī)的連接拓?fù)鋱D。設(shè)計時要考慮鏈路的冗余，具體的設(shè)備選擇與連接方式參照以下要求。 2：路由器，交換機(jī)的全部配置（VLAN的劃分，生成樹協(xié)議配置，RIP協(xié)議配置，VRRP+MSTP的配置（負(fù)載均衡與路由冗余配置），策略路由的配置，外部訪問策略的配置，出口訪問控制列表配置） 3：VLAN的劃分 三種類型： a:基于端口VLAN b:基于MAC地址的VLAN c:基于IP地址的VLAN 劃分的原則：1：不

21、同網(wǎng)絡(luò)區(qū)域采用不同的VLAN. 2: VLAN的劃分要考慮接入的點數(shù)是否合理，太少接入點不應(yīng)化為一個VLAN. 3：使用無分類的IP地址 4：標(biāo)明每個區(qū)域所屬VLAN,所分配的IP地址的范圍，子網(wǎng)的掩碼，網(wǎng)關(guān) 網(wǎng)絡(luò)連接拓?fù)鋱D：VLAN的劃分：信工主任辦公室及信工辦公室共15個軟工主任辦公室及軟工辦公室共24個網(wǎng)工主任辦公室及網(wǎng)工辦公室共9個教育系主任辦公室及教育系辦公室8個計算機(jī)系主任辦公室及計算機(jī)辦公室共15個四個學(xué)院辦公室4個院長辦公室 3個 書記辦公室3個 會議室3個研究生實驗室60個輔導(dǎo)員辦公室4個工程碩士培養(yǎng)中心6個網(wǎng)工機(jī)房80個教育技術(shù)機(jī)房40個信工機(jī)房40個軟工機(jī)房40個VLAN

22、的劃分原則：為使每個專業(yè)相獨立，把五個專業(yè)的辦公室劃分到不同的vlan中，院長書記辦公室和學(xué)院辦公室所處的層次較高所以劃分到同一個vlan中，會議室輔導(dǎo)員辦公室劃分到同一個vlan中，研究生實驗室及工程碩士培養(yǎng)中心劃分到同一個vlan，各個專業(yè)的機(jī)房與其所屬專業(yè)劃分到同一個vlan中?？傮w原則就是將各個專業(yè)分開將不同層次即具有不同級別權(quán)利的人員分開，本例是基于端口的vlan的劃分。 部門Vlan子網(wǎng)地址范圍子網(wǎng)掩碼軟工1428信工25192

23、8網(wǎng)工3928計科4001428教育5828院長書記等694會議室、輔導(dǎo)員755實驗室8631 1.基于端口劃分的VLAN 這種劃分

24、VLAN的方法是根據(jù)以太網(wǎng)交換機(jī)的端口來劃分，比如交換機(jī)1的1-4端口為VLAN10，5-17為VLAN20，18-24為VLAN30，當(dāng)然這些屬于同一VLAN的端口可以不連續(xù)，如何配置有管理員決定，如果有多個交換機(jī)，可以制定交換機(jī)1的1-6端口和交換機(jī)2的1-4端口為同一VLAN，及同一VLAN可以跨越數(shù)個以太網(wǎng)交換機(jī)，根據(jù)端口劃分是目前第一VLAN的最廣泛的方法，IEEE802.1Q規(guī)定了依據(jù)以太網(wǎng)交換機(jī)的端口來劃分國際標(biāo)準(zhǔn)。這種劃分的方法的優(yōu)點是定義VLAN成員時非常簡單，只要將所有的端口都定義一下就可以了。他的缺點是如果如果VLAN的用戶離開了原來的端口，到了一個心得交換機(jī)某個端口，那

25、么就必須重新定義。2. 基于MAC地址劃分VLAN 這種劃分VLAN的方法是根據(jù)每個主機(jī)的,MAC地址劃分的，即對每個MAC地址的主機(jī)都配置它屬于哪個組。這種劃分VLAN的方法最大的優(yōu)點就是當(dāng)用戶物理位置移動時，即從一個交換機(jī)換到其它交換機(jī)時，VLAN不用重新配置，所以，可以認(rèn)為這種根據(jù)MAC地址的劃分方法是基于用戶的VLAN，這種方法的缺點是初始化時所有的用戶都必須進(jìn)行配置，如果有幾百個甚至上千個用戶的話，配置是非常累的。而且這種劃分的方法也導(dǎo)致的交換機(jī)執(zhí)行效率的降低，因為在每一個交換機(jī)的端口都可能存在很多個VLAN組的成員，這樣就無法限制廣播包了。另外，對于使用筆記本電腦的用戶來說，他們的

26、網(wǎng)卡可能經(jīng)常更換，這樣VLAN就必須不停的配置。3. 基于IP劃分VLAN IP組播實際上也是一種VLAN的定義，即認(rèn)為一個組播就是一個VLAN，這種劃分的方法將VLAN擴(kuò)大到了廣域網(wǎng)，因此這種方法具有更大的靈活性，而且也很容易通過路由進(jìn)行擴(kuò)展，當(dāng)然這種方法不適合局域網(wǎng)，主要是效率不高。鑒于當(dāng)前VLAN發(fā)展的趨勢，考慮到各種VLAN劃分方式的優(yōu)缺點，為了最大程度上滿足用戶在具體使用過程中的需求，減輕用戶在VLAN的具體使用和維護(hù)中的工作量，多數(shù)采用根據(jù)交換機(jī)端口來劃分VLAN的方法，本次網(wǎng)絡(luò)采用基于端口劃分VLAN的方式來實現(xiàn)，下面是具體代碼。劃分VLAN的代碼：Switch>enSwi

27、tch#conf tSwitch(config)#vlan 1Switch(config-vlan)#exitSwitch(config)#vlan 2Switch(config-vlan)#exitSwitch(config)#interface fastEthernet 0/1Switch(config-if)#switchport mode trunk /將0/1端口設(shè)置為串口Switch(config-if)#interface fastEthernet 0/2Switch(config-if)#switchport access vlan 1 /將0/2端口劃到VLAN1中 Swit

28、ch(config-if)#interface fastEthernet 0/3Switch(config-if)#switchport access vlan 2 /將0/3端口劃到VLAN2中配置擴(kuò)展訪問控制列表：R(config)#access_list 101 permit tcp any host eq pop3R(config)#access_list 101 permit tcp any host eq smtpR(config)#access_list 101 permit tcp any host 150.208.160

29、.3 eq wwwR(config)#access_list 101 permit tcp any host eq wwwR(config)#access_list 101 deny ip any host R(config)#access_list 101 deny ip any host R(config)#access_list 101 deny icmp any any echoR(config)#access_list 101 deny tcp any any eq 4444R(config)#acces

30、s_list 101 deny udp any any eq tftpR(config)#access_list 101 deny udp any any eq 1434R(config)#access_list 101 deny tcp any any eq 445R(config)#access_list 101 deny tcp any any eq 139R(config)#access_list 101 deny udp any any eq netbios-ssR(config)#access_list 101 deny tcp any any eq 135 R(config)#a

31、ccess_list 101 deny udp any any eq 135R(config)#access_list 101 deny udp any any eq netbios-nsR(config)#access_list 101 deny udp any any eq netbious-dgmR(config)#access_list 101 deny udp any any eq 445R(config)#access_list 101 deny tcp any any eq 593R(config)#access_list 101 deny udp any any eq 593R

32、(config)#access_list 101 deny tcp any any eq 5800R(config)#access_list 101 deny tcp any any eq 5900R(config)#access_list 101 deny udp any any eq 6667R(config)#access_list 101 deny 255 any anyR(config)#access_list 101 deny 0 any anyR(config)#access_list 101 permit ip any anyR(config)#interface s0/0R(

33、config-if) access-grroup 110 inVRRP+MSTP的配置（負(fù)載均衡與鏈路冗余）1.路由交換機(jī)配置VRRP組(1) 主核心設(shè)備VRRP配置interface vlan 10ip address 0 standby 1 ip standby 1 preemptstandby 1 priority 254interface vlan 20ip address 0 standby 1 ip standby 1 preempt(

34、2) 備份核心設(shè)備VRRP配置interface vlan 10ip address 1 standby 1 ip standby 1 preemptinterface vlan 20ip address 1 standby 1 ip standby 1 preemptstandby 1 priority 254(3) 主核心設(shè)備設(shè)置奇數(shù)VLAN路由優(yōu)先級interface vlan 1.0ip ospf cost 38438(4) 備份核心設(shè)備設(shè)

35、置偶數(shù)VLAN路由優(yōu)先級interface vlan 20ip ospf cost 38438(5) 主核心設(shè)備設(shè)置MSTP的優(yōu)先級spanning-tree mst 1 priority 4438spanning-tree mst 2 priority 1250(6)備份核心設(shè)備設(shè)置MSTP的優(yōu)先級spanning-tree mst 1 priority 1250spanning-tree mst 2 priority 44382.匯聚與接入交換機(jī)配置MSTP spanning-tree spanning-tree mode mstp spanning-tree mst configurat

36、ion instance 1 vlan 10,30 revision 1 instance 2 vlan 20,40 revision 1 exit策略路由的配置： R1（config）#access-list 1 permit 4 ;設(shè)置主機(jī)A允許訪問列表R1(config)#access-list 2 permit 3 ;設(shè)置主機(jī)B的允許訪問列表R1（config）#route-map RULE1 permit 10 R1（config-route-map）#match ip address 1R1（config-route-map）#set

37、 ip nex-hop 192.168.40,1 R1（config）#route-map RULE1 permit 20 R1（config-route-map）#match ip address 2 R1（config-route-map）#set ip nex-hop 192.168.50,1R1（config）#interface fe0/0R1(config-if)#ip address 4 92R1(config-if)#ip policy route-map RULE1 ;在fe0/0接口啟用策略路由R1（config）#inte

38、rface s0/0R1(config-if)#ip address 92R1（config）#interface s1/0R1(config-if)#ip address 92R1(config)#route ospf 100R1(config-route)#network 92 92R1(config-route)#network 92 92R1(config-route)#network

39、 92 92服務(wù)器選型：文件服務(wù)器：1：文件服務(wù)器簡介文件服務(wù)器即fs服務(wù)器，它的功能就是向服務(wù)器提供文件。它加強(qiáng)了存儲器的功能，簡化了網(wǎng)絡(luò)數(shù)據(jù)的管理。文件服務(wù)器具有分時系統(tǒng)文件管理的全部功能,能為網(wǎng)絡(luò)用戶提供訪問文件、目錄的并發(fā)控制和安全保密措施等服務(wù)。在本網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)中，為了實現(xiàn)文件數(shù)據(jù)的共享，并實現(xiàn)對全網(wǎng)的統(tǒng)一管理，為網(wǎng)絡(luò)用戶提供訪問文件的并發(fā)控制，需要將供多臺計算機(jī)共享的文件存放于一臺計算機(jī)中，這臺計算機(jī)就被稱為文件服務(wù)器。2：文件服務(wù)器的選型原則： 在選擇文件服務(wù)器時，是否擁有快速的I/O速度是判斷性能的關(guān)鍵因素之一，因為文件服務(wù)器主

40、要進(jìn)行讀/寫操作，RAM數(shù)量對其性能的影響沒有其他因素大，因為文件不可能長期呆在內(nèi)存里，所以也存在著駐留在緩存中的文件大小的限制。在本網(wǎng)絡(luò)系統(tǒng)中，文件服務(wù)器提供供多臺計算機(jī)共享的文件的平臺，保證用戶和服務(wù)器磁盤子系統(tǒng)之間快速傳遞數(shù)據(jù)，影響其工作性能的最大因素是網(wǎng)絡(luò)性能，因此在本系統(tǒng)中可優(yōu)先考慮網(wǎng)絡(luò)傳輸情況，其次考慮磁盤的存取速率。文件服務(wù)器浪潮塔式服務(wù)器 價格6000 （國產(chǎn)） 支持糾錯代碼（ecc）的內(nèi)存。 內(nèi)存4G 硬盤500g*3 ，最大支持的cpu數(shù) 1個。支持SATA，SAS兩種類型的硬盤，擁有8塊硬盤的擴(kuò)展空間，提供充足的未來擴(kuò)展空間。Web服務(wù)器選型原則選擇Web服務(wù)器時，不僅要

41、考慮目前的需求，還要考慮將來可能需要的功能，因為更換Web服務(wù)器通常要比安裝標(biāo)準(zhǔn)軟件困難得多，會帶來一系列的問題，如頁面腳本是否需要更改，應(yīng)用服務(wù)器是否需要更改等等。大多數(shù)Web服務(wù)器主要是為一種操作系統(tǒng)進(jìn)行優(yōu)化的，有的只能運行在一種操作系統(tǒng)上，所以選擇Web服務(wù)器時，還需要和操作系統(tǒng)聯(lián)系起來考慮。而且一般的品牌Web服務(wù)器都有自己的一套Web服務(wù)器系統(tǒng)軟件，這就要考慮這套軟件所支持的標(biāo)準(zhǔn)、應(yīng)用（包括數(shù)據(jù)庫應(yīng)用）和安全協(xié)議等。一般要考慮以下幾個方面1、從本身需求考慮，包括現(xiàn)在實際需求和應(yīng)用與未來應(yīng)用擴(kuò)展需求。有些企業(yè)盲目要求高配置，其實這是不正確的。2、性能由于Web服務(wù)器為它的客戶提供的數(shù)據(jù)類型通常是機(jī)密的。所支持的并發(fā)用戶數(shù)，這是大家最容易想到的。Web服務(wù)器的并發(fā)用戶數(shù)支持能力是指Web服務(wù)器在同一時刻可以允許的用戶連接數(shù)。響應(yīng)能力-其實這個參數(shù)與上面介紹的所能支持的并