系统集成需求分析.docx

系统集成需求分析.docx

《系统集成需求分析.docx》由会员分享，可在线阅读，更多相关《系统集成需求分析.docx（27页珍藏版）》请在冰点文库上搜索。

系统集成需求分析

石家庄铁道大学

网络工程设计与系统集成

信1103-2班

组长：

常永生

组员：

段向阳张兴有李永亮郭颂

郭茂郑亮齐备

第二实验楼网络需求分析说明书

第一部分：

项目需求详解

1：

需求分析概述

1.1系统所在地的地理布局

第二实验楼为信息学院综合办公场所，内有会议室，自习室，教师办公室，研究生培养室，实验室，值班室，设备间等房间，集会议，学习，教学于一体，入驻人员多，网络需求各异。

1.2网络区域环境分析

根据办公用途和网络需求的不同，可以将第二实验楼网络区域划分为一下几个区域：

教师办公区域，实验室区域，教室区域，会议室区域。

1.3网络系统功能概述

第二实验楼各区域网络需求各异，网络集成设计的目的是对计算机系统进行统一设计布线，实现内部系统环境的集中管理；营造稳定，高效，安全的学习和办公环境，为师生提供开放灵活的信息通道；创建内部交互和外部访问功能，实现各网络域间访问和对internet的访问；终端桌面应具有一定的带宽，能流畅下载各类资源；网络系统应具有防火墙等设置，能在一定程度上抵御外部的恶意攻击；系统在一定时期后，应能根据新的设备需求或用户需求对网络进行升级换代。

网络系统应遵循EIA/TIA-568A等行业标准。

2：

网络系统整体结构图

3综合布线设计

3.1建筑群子系统

建筑群子系统提供外部建筑物与大楼内布线的连接点，由两个以上建筑物的电话、数据和监视系统组成一个建筑群综合布线系统，其连接各建筑之间的缆线和设备，组成建筑群子系统。

建筑群子系统支持楼宇之间的通信所需的硬件其中包括导线、光纤及防止电缆上的脉冲电压进入建筑物的电气保护装置。

从第九实验楼到第二实验楼距离超过一百米，应采用多模光缆，为防止雷击的影响，最好采取地下管道敷设的方式，安装时应该预留2-4个备用管孔，以供扩充之用。

光缆长度应大于第二实验楼到第九实验楼的实际直线距离+第二实验楼的三楼的高度+10m

3.2垂直子系统

垂直子系统提供建筑物的垂直电缆，负责连接管理子系统和设备间子系统并提供建筑物垂直电缆布线路由及各连接电缆。

干线系统应选择干线电缆较短，安全和经济的路由，干线电缆的位置应尽可能位于建筑物的中心位置，缆线不应布放在电梯、供水、供气、供暖、强电筹竖井中。

学院楼三楼值班室、学院楼二层的205和四层的信工毕设组成垂直子系统，该子系统的垂直高度为16米，按照实际情况应分配20-22米光缆，且实行路由最短原则。

注：

1.垂直电缆的拐弯处不要直角拐弯，应该有弧度以防电缆受损。

2垂直电缆要安装在PVC管内或槽内，架空电缆邀防止雷击。

3每层楼及整幢大楼都要有防雷击设施.

3.3水平子系统：

水平子系统是从RJ-45插座开始到管理子系统的配线柜，且水平子系统总是在一个楼层上，并与信息插座连接，能支持大多数现代化通信设备，如果需要高宽带应用可以采用光缆。

水平子系统根据整个综合布线系统的要求，应在二级交接间、交接间或设备间的配线设备上进行连接，以构成电话、数据、电视系统和监视系统，并方便地进行管理。

一般采用UTP双绞线，长度不超过90米。

且必须敷设线槽或在天花板吊顶内布线，不提倡敷设地面线槽。

线缆长度计算方法：

（最长+最短线缆长度）/2=平均长度

总长度=平均长度+冗余长度（平均长度的10%）+端接容差（一般为6米）*信息点总数

3.4设备间子系统

设备间子系统安装在计算机系统、网络系统和程控机系统的主机房内，设备间设置在每一幢大楼的适当地点，由综合布线系统的建筑物进线设备、电话、数据、交换机等各种通信设备及其配线设备组成。

设备间的理想位置应处在建筑物内综合布线系统干线网络的中间位置。

一般常位于地下室或一、二层，并应尽量靠近建筑物内的引入通信线路处，以便与屋内外各种通信设备和网络接口连接，所以通信线路的引入处和通信设备以及网络接口的间距，一般不宜超过15m。

学院楼三层为设备间，其中存放路由器，交换机，和各种服务器。

设备间的面积应空余出一部分以方便以后添加设备，要有良好的温湿度环境和清洁环境，设备间应按机房建设标准设计要有良好的接地保护系统

4网络系统分层构建

4.1：

各分层构建

4.2：

设备选型

1、中心三层交换机

华为S5700-24TP-SI（AC）详细参数参考价格：

￥4808

主要参数

产品类型

千兆以太网交换机

应用层级

三层

传输速率

10/100/1000Mbps

交换方式

存储-转发

背板带宽

256Gbps

包转发率

36Mpps

MAC地址表

16K

端口参数

端口结构

非模块化

端口数量

28个

端口描述

24个10/100/1000Base-T端口，4个100/1000Base-X千兆Combo口

扩展模块

1个堆叠扩展插槽

传输模式

全双工/半双工自适应

功能特性

网络标准

IEEE802.3，IEEE802.3u，IEEE802.3ab，IEEE802.3z，IEEE802.3x，IEEE802.1Q，IEEE802.1d，IEEE802.1X

堆叠功能

可堆叠

VLAN

支持4K个VLAN

支持GuestVLAN、VoiceVLAN

支持基于MAC/协议/IP子网/策略/端口的VLAN

支持1:

1和N:

1VLAN交换功能

组播管理

支持IGMPv1/v2/v3Snooping

和快速离开机制

支持VLAN内组播转发和组播

多VLAN复制

支持捆绑端口的组播负载分担

支持可控组播

基于端口的组播流量统计

2、每楼层二层交换机

华为S2700-26TP-SI（AC）详细参数参考价格：

￥1471

主要参数

产品类型

智能交换机

应用层级

二层

传输速率

10/100Mbps

交换方式

存储-转发

背板带宽

32Gbps

包转发率

6.6Mpps

MAC地址表

8K

端口参数

端口结构

非模块化

端口数量

26个

端口描述

24个10/100Base-TX端口，2个千兆Combo口

传输模式

全双工/半双工自适应

功能特性

网络标准

IEEE802.3，IEEE802.3u，IEEE802.3ab，IEEE802.3z，IEEE802.3x，IEEE802.1Q，IEEE802.1d，IEEE802.1X

堆叠功能

可堆叠

VLAN

支持IEEE802.1Q（VLAN），整机支持4K个VLAN

支持基于端口的VLAN

组播管理

支持IGMPv1/v2/v3Snooping

支持捆绑端口的组播负载分担

支持基于端口的组播流速率限制和流量统计

支持端口1:

1或N:

1镜像

路由器选型:

华为AR1220-S

参考价格4000

选择理由:

支持路由策略，静态路由，RIP，OSPF协议,支持VRRP+MSTP的配置,适合工作环境环境温度0～40°C,背板带宽8Gbps,均符合该实验要求,价格较为合理

交换机选型：

华为S2700-26TP-SI

参考价格:

1471

VLAN：

支持IEEE802.1Q（VLAN），整机支持4000个VLAN,生成树协议配置,工作温度-5-55℃,均符合实验要求,支持MAC地址过滤可以限制使用网络的机器

5：

综合布线系统保护

1，过压与过流的保护

综合布线系统保护的目的，是为了减小电气故障对综合布线的电缆和相关连接硬件的损坏，同事避免终端设备或器件的损坏，保障系统的正常运行。

室外通信电缆进入建筑物时，通常在入口处经过一次转接进入室内。

在转接处应加装电气保护设备，这样可以避免因电缆受到雷击产生感应电势或电力线路接触而给用户设备带来损坏。

电气保护主要分为过压保护和过流保护，这些保护装置通常安装在建筑物入口的专用房间或墙面上。

综合布线的过压保护可选用气体放电管保护器或固态保护器。

气体放电管保护器使用断开或放电间隙来限制导体和地之间的电压。

放电间隙由粘在陶瓷外壳内密封的两个金属电柱形成，并充有惰性气体。

两个电极之间的电位差超过交流250V或雷电浪涌电压超过700V时，气体放电管出现电弧，为导体和地电极之间提供一条导电通路。

固态保护器盒有较低的击穿电压（60~90V），而且其电路中不能有振铃电压。

它利用电子电路将过量的有害电压泄放至地，而不影响电缆的传输质量。

固态保护器是一种电子开关，在未到达击穿电压前，可进行稳定的电压箝位；一旦超过击穿电压，它便将电压引入地面。

综合布线系统除了采用过压保护外，还同时采用过流保护。

过流保护器一般都采用有自动恢复功能的保护器。

2，干扰和辐射的保护

　　　电磁干扰和辐射是整个应用系统的问题，由综合布线电缆引起的干扰只是其中的一部分，而且辐射能量与发送信号的电压与频率有关。

采用屏蔽是为了在有干扰的环境下保证综合布线通道的传输性能。

屏蔽包括两方面，一方面是减少电缆本身向外辐射的能量，另一个方面是提高电缆抗外来电磁干扰的能力。

　　　综合布线的整体性能取决于应用系统中最薄弱的电缆和相关连接硬件性能及其连接工艺。

在综合布线中，最薄弱的环节是配线架与电缆连接部件以及信息插座与插头的接触部位。

3，综合布线系统接地

　　　综合布线电缆和相关连接硬件接地是提高网络系统可靠性、抑制噪声、保障安全的重要手段。

综合布线系统机房和设备的接地，按不同作用分为直流工作接地、交流工作接地、安全保护接地、防雷保护接地、防静电接地、屏蔽接地等。

如果接地系统处理不当，不仅会带来安全问题，还会影响网络设备的稳定性，引起故障，甚至毁坏网络设备。

上述前四种接地方式接地之间的距离应大于25m，尤其要使防雷装置与其他接地体之间保持足够的距离。

接地系统的接地电阻越小越好。

　　　根据国家规范要求，在建筑楼入口区、高层建筑的楼层设备间、配线间都应设置接地装置。

综合布线引入电缆的屏蔽层必须连接到建筑物入口区的接地装置上，干线电缆的屏蔽层应采用大于4平方毫米的多股铜线，连接到设备间或配线间的接地装置上，而且干线电缆的屏蔽层必须保持连续。

楼层安装的各个配线柜（架）应采用适当截面的绝缘铜导线单独布线至就近的等电位接地装置，也可采用竖井内等电位接地铜排（铜排是一种大电流导电产品，适用于高低压电器、开关触头、配电设备、母线槽等电器工程）引到建筑物共用接地装置铜导线的截面应符合要求。

　　　总之，综合布线系统的保护对于网络安全、可靠运行起着重要作用。

以GB50311--2007《综合布线系统工程设计规范》标准进行综合布线的保护。

4，防火墙需求

网络边界防御需要添加一些安全设备来保护进入网络的每个访问。

这些安全设备要么阻塞、要么筛选网络流量来限制网络活动，或者仅仅允许一些固定的网络地址在固定的端口上可以通过网管员的网络边界。

这些边界安全设备就叫做防火墙。

防火墙阻止试图对组织内部网络进行扫描，阻止企图闯入网络的活动，防止外部进行拒绝服务（DoS）攻击，禁止一定范围内黑客利用因特网来探测用户内部网络行为。

阻塞和筛选规则由网管员所在机构的安全策略来决定。

防火墙能够把网络中的各个段隔离

开并进行保护。

.服务器与服务器之间，工作站与工作站之间，服务器与工作站之间都需要设置防火墙

6系统测试与检测

6.1双绞线测试内容

1.双绞线端接图测试

2.线缆长度测试

3.衰减测试

4近端串扰测试.

6.2光缆系统的测试

1.测试前对所有的光连接器进行清洗，并将测试接收器校准至0.

2.测试包括对整个光线链路的衰减进行测试。

光纤链路的反射测量以确定链路长度及故障点位置。

3.测试时在两端对光缆逐芯进行测试，在一端对两芯光缆进行环回测试。

4.光缆链路系统指标应符合设计要求。

5.光缆布线链路在规定的传输窗口测量出的最大衰减不能超过规定范围。

光缆布线链路的衰减

布线

链路长度

（m）

衰减（dB）

单模光缆

多模光缆

1310nm

1550nm

850nm

1300n

水平

100

2.2

2.2

2.5

2.2

建筑物主干

500

2.7

2.7

3.9

2.6

建筑物主干

1500

3.6

3.6

7.4

3.6

6.光缆布线链路的任一接口测出的光回波损耗值大于表中的值。

最小光回波损耗

类别

单模光缆

多模光缆

波长

1310nm

1550nm

850nm

1300n

光回波损耗

26dB

26dB

20dB

20B

6.3系统的安全性测试

系统访问的安全性测试

对数据或业务功能的访问，在预期的安全性情况下，操作者只能访问应用程序的特定功能、有限的数据。

其测试是核实操作者只能访问其所属用户类型已被授权访问的那些功能。

操作系统的安全测试

可确保只有具备系统访问权限的用户才能访问应用程序，而且只能通过相应的网关来访问，包括对系统的登录或远程访问。

数据库安全测试

无关ip禁止访问用户密码为强命令用户赋予适当权限

网络环境安全测试

主要检测的是系统所在局域网内的网络环境的的安全设置

7项目成本预算（一层与四层）

设备:

中心三层交换机数量：

2台单价：

4808元/台小计：

9616元

设备:

二层交换机数量:

5台单价:

1471元/台小计：

7355元

设备:

双绞线长度：

305m价格：

750元

设备:

配线架数量：

2台单价:

1505元/台小计：

3010元

设备:

水晶头数量：

1盒单价:

108元/盒小计：

108元

设备:

插口面板数量：

10单价:

8元小计：

80元

多模光纤：

长度：

170米单价：

7元/米小计：

1190元

（AMP1664166-5室外用铠装型光纤）

工人工资:

##

合计：

22109+##

第二部分：

网络链路与服务器配置

A：

服务器配置

服务器类型：

DNS服务器，FTP服务器，

数据库服务器，WEB服务器

内容：

1：

各服务器的选型原则

2：

服务器的配置步骤

3：

服务器的测试

B:

网络链路的配置

配置要求与项目规划

1：

每层的路由器，交换机，PC机的连接拓扑图。

设计时要考虑链路的冗余，具体的设备选择与连接方式参照以下要求。

2：

路由器，交换机的全部配置（VLAN的划分，生成树协议配置，RIP协议配置，VRRP+MSTP的配置（负载均衡与路由冗余配置），策略路由的配置，外部访问策略的配置，出口访问控制列表配置）

3：

VLAN的划分

三种类型：

a:

基于端口VLANb:

基于MAC地址的VLANc:

基于IP地址的VLAN

划分的原则：

1：

不同网络区域采用不同的VLAN.

2:

VLAN的划分要考虑接入的点数是否合理，太少接入点不应化为一个VLAN.

3：

使用无分类的IP地址

4：

标明每个区域所属VLAN,所分配的IP地址的范围，子网的掩码，网关

网络连接拓扑图：

VLAN的划分：

信工主任办公室及信工办公室共15个

软工主任办公室及软工办公室共24个

网工主任办公室及网工办公室共9个

教育系主任办公室及教育系办公室8个

计算机系主任办公室及计算机办公室共15个

四个学院办公室4个

院长办公室3个

书记办公室3个

会议室3个

研究生实验室60个

辅导员办公室4个

工程硕士培养中心6个

网工机房80个

教育技术机房40个

信工机房40个

软工机房40个

VLAN的划分原则：

为使每个专业相独立，把五个专业的办公室划分到不同的vlan中，

院长书记办公室和学院办公室所处的层次较高所以划分到同一个vlan中，会议室辅导员办公室划分到同一个vlan中，研究生实验室及工程硕士培养中心划分到同一个vlan，各个专业的机房与其所属专业划分到同一个vlan中。

总体原则就是将各个专业分开将不同层次即具有不同级别权利的人员分开，本例是基于端口的vlan的划分。

部门

Vlan

子网地址范围

子网掩码

软工

1

192.168.160.1~192.168.160.64

255.255.255.128

信工

2

192.168.160.65~192.168.160.119

255.255.255.128

网工

3

192.168.161.1~192.168.161.99

255.255.255.128

计科

4

192.168.161.100~192.168.161.114

255.255.255.128

教育

5

192.168.162.1~192.168.162.48

255.255.255.128

院长书记等

6

192.168.162.49~192.168.162.54

255.255.255.0

会议室、辅导员

7

192.168.162.55~192.168.162.65

255.255.255.0

实验室

8

192.168.162.66~192.168.162.131

255.255.255.0

1.基于端口划分的VLAN

这种划分VLAN的方法是根据以太网交换机的端口来划分，比如交换机1的1-4端口为VLAN10，5-17为VLAN20，18-24为VLAN30，当然这些属于同一VLAN的端口可以不连续，如何配置有管理员决定，如果有多个交换机，可以制定交换机1的1-6端口和交换机2的1-4端口为同一VLAN，及同一VLAN可以跨越数个以太网交换机，根据端口划分是目前第一VLAN的最广泛的方法，IEEE802.1Q规定了依据以太网交换机的端口来划分国际标准。

这种划分的方法的优点是定义VLAN成员时非常简单，只要将所有的端口都定义一下就可以了。

他的缺点是如果如果VLAN的用户离开了原来的端口，到了一个心得交换机某个端口，那么就必须重新定义。

2.基于MAC地址划分VLAN

这种划分VLAN的方法是根据每个主机的,MAC地址划分的，即对每个MAC地址的主机都配置它属于哪个组。

这种划分VLAN的方法最大的优点就是当用户物理位置移动时，即从一个交换机换到其它交换机时，VLAN不用重新配置，所以，可以认为这种根据MAC地址的划分方法是基于用户的VLAN，这种方法的缺点是初始化时所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的。

而且这种划分的方法也导致的交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，这样就无法限制广播包了。

另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样VLAN就必须不停的配置。

3.基于IP划分VLAN

IP组播实际上也是一种VLAN的定义，即认为一个组播就是一个VLAN，这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由进行扩展，当然这种方法不适合局域网，主要是效率不高。

鉴于当前VLAN发展的趋势，考虑到各种VLAN划分方式的优缺点，为了最大程度上满足用户在具体使用过程中的需求，减轻用户在VLAN的具体使用和维护中的工作量，多数采用根据交换机端口来划分VLAN的方法，本次网络采用基于端口划分VLAN的方式来实现，下面是具体代码。

划分VLAN的代码：

Switch>en

Switch#conft

Switch（config）#vlan1

Switch（config-vlan）#exit

Switch（config）#vlan2

Switch（config-vlan）#exit

Switch（config）#interfacefastEthernet0/1

Switch（config-if）#switchportmodetrunk//将0/1端口设置为串口

Switch（config-if）#interfacefastEthernet0/2

Switch（config-if）#switchportaccessvlan1//将0/2端口划到VLAN1中

Switch（config-if）#interfacefastEthernet0/3

Switch（config-if）#switchportaccessvlan2//将0/3端口划到VLAN2中

配置扩展访问控制列表：

R（config）#access_list101permittcpanyhost150.208.160.3eqpop3

R（config）#access_list101permittcpanyhost150.208.160.3eqsmtp

R（config）#access_list101permittcpanyhost150.208.160.3eqwww

R（config）#access_list101permittcpanyhost150.208.160.4eqwww

R（config）#access_list101denyipanyhost150.208.160.3

R（config）#access_list101denyipanyhost150.208.160.4

R（config）#access_list101denyicmpanyanyecho

R（config）#access_list101denytcpanyanyeq4444

R（config）#access_list101denyudpanyanyeqtftp

R（config）#access_list101denyudpanyanyeq1434

R（config）#access_list101denytcpanyanyeq445

R（config）#access_list101denytcpanyanyeq139

R（config）#access_list101denyudpanyanyeqnetbios-ss

R（config）#access_list101denytcpanyanyeq135

R（config）#access_list101denyudpanyanyeq135

R（config）#access_list101denyudpanyanyeqnetbios-ns

R（config）#access_list101denyudpanyanyeqnetbious-dgm

R（config）#access_list101denyudpanyanyeq445

R（config）#access_list101denytcpanyanyeq593

R（config）#access_list101denyudpanyanyeq593

R（config）#access_list101denytcpanyanyeq5800

R（config）#access_list101denytcpanyanyeq5900

R（config）#access_list101denyudpanyanyeq6667

R（config）#access_list101deny255anyany

R（co