【基于eNsp平台的小学无线网络系统设计与实现18000字（论文）】

PAGEPAGE2基于eNsp平台的小学无线网络系统设计与实现目录TOC\o"1-3"\h\u32612摘要 I220461引言 1243861.1校园网的环境分析 1100961.2校园网的业务需求分析 1251581.3校园网的管理需求分析 2320131.4校园网的安全性需求分析 2313771.5校园网的网络规模 2187972校园总体网络架构与技术规划 3132632.1校园网设计的基本原则 3103022.2分层网络设计 3181422.3校园网的总体结构设计 487262.4IP编址与规划 5218682.4.1IP编址方案 5103782.4.2IP地址分配的策略 578703选用的网络技术 722183.1以太网网络设计 7214373.2IP网络设计 7196363.3可靠性设计 9136163.4安全性设计 1071134校园网的实现及设备选型 12310444.1传输介质选型 1263184.2接入层交换机选型 1240494.3汇聚交换机选型 13295594.4核心交换机选型 14209384.5防火墙选型 15116975技术特性实现 16156885.1Eth-Trunk以太信道 16196615.2DHCP动态主机配置协议 18109585.3VRRP虚拟路由冗余协议 24217115.4NAT网络地址转换 2735035.5DHCPSnopping 28301005.6IPSG（IPSourceGuard）IP源防护 2983945.7PortSecurity端口安全 30264106小学无线网络的测试 31107386.1测试环境 3156506.2无线性能测试 3145366.3测试结论 43149686.4存在的问题 4419748参考文献 46摘要随着计算机、通信和多媒体技术的发展，使得网络上的应用更加丰富。同时在多媒体教育和管理等方面的需求，对校园网络也提出进一步的要求。因此需要一个高速的、先进的、可扩展的校园计算机网络以适应当前网络技术发展的趋势并满足学校各方面应用的需要。作为教育基石的学校，在培养先进的人才的同时，也迫切需要有高性能、高可靠性、扩展性好的网络解决方案。本次嘉兴高级小学的校园网的设计遵循了“应用为本”的原则，所以在应用的基础上设计局域网,并且为了能够满足未来几年内用户对网络带宽的需要，还考虑了网络规模和带宽的扩展能力。规划校园网时，不仅考虑到现有局域网的情况，更主要的是着眼于为未来的学校提供既符合经济原则，又具有技术先进性和实用性的发展策略。为此在具体工作中要努力贯彻先进性,开放性,扩充性,可靠性,实用性,安全性,可维护性,可操作性等原则。关键词：校园网，网络协议，网络方案设计，Internet技术1引言1.1校园网的环境分析嘉兴高级小学约有4000人，校园内建有1个网络中心、60个多媒体教室1幢行政楼，6幢教学楼，5幢宿舍，1个图书馆和1个实训中心,建成了基于网络的虚拟实验室以及现代化的在线教学管理系统，学生人手一台平板电脑，利用平板电脑，学生以有线或无线方式在校园的任一角落可随时接入高速校园网络，总计6000个网络信息点。东校区作为三个校区的之一﹐面积最大﹐建筑最多﹐所以应把东校区设为主网络中心。在东校区可以采用RG-S6810E千兆交换机作为核心设备。南校区采用CIscO6509千兆交换机。北校区采用RG-S5750千兆交换机。[7]为了实现有线与无线全面覆盖的高质量﹒高性能校园网，应组建千兆核心网络。对于布线比较方便的区域，如教学楼﹑办公楼﹑实验楼等，实现有线接入。对于的公共区域，如会议中心,体育场,绿化带校园广场等，和多而密的学生公寓区采用无线接入技术。室外，包括操场﹑道路﹑广场﹑绿地园林等区域。可以采用支持POE供电方式的室外AP加定向或者全向天线方式。覆盖时应避免在AP天线与覆盖区域之间出现大的障碍物。对于室内区域不需要高而密的覆盖﹐也选择通过室外AP来实现无线室内覆盖。对于学生无线接入的并发高密宿舍区域进行分层覆盖﹐每层再通过在室内布署无线AP来实现﹐将AP部署在走廊,对两侧宿舍进行覆盖﹐这样可以有效的控制干扰。这样就通过合适的布放AP来实现了室内全覆盖，用户再通过无线网卡接入校园网,从而实现校园室内﹑室外网络全接入。1.2校园网的业务需求分析由于该小学网络信息点众多所以需要对现有的信息点进行一个统一的规划并且对三个中心机房进行统一的管理。针对该学院人手一台平板电脑的实际情况要在校园内组建覆盖整个校园的强大虚拟网络实现学生在校园的任一角落可随时接入高速校园网络。为了功能不受阻，应选择高性能的设备。[2]学校除要匹配高性能的教学办公设备以外﹐在组网上也应选择较好的配置。学校建筑多而复杂﹐其节点数量更大﹐所以必须采用四层星型结构﹐分核心层.汇聚层﹑大楼汇聚层﹒楼层接入层四个层次。在汇聚层使用大容量路由交换机，分别在办公楼﹑教学楼﹑实验楼﹒图书馆内设立分中心用于汇聚所属的各个组团的接入设备﹐然后通过GE线路连接到核心设备;在每座大楼汇聚层采用高性能三层千兆以太网路由交换机作接入设备﹐对于个别信息点比较少的采用高性能二层千兆以太网交换机作接入设备。同时在一些特殊场合采用无线接入;在楼层接入层采用二层以太网交换机﹐在一些特殊的楼内采用无线接入。针对该学校对网络的大量需求和以后实现学院网络教学的计划我们采用1000M的高速千兆以太网技术并且主线采用光缆作传输介质而且需要网络支持e-Mail服务并设有Web服务器。1.3校园网的管理需求分析为了适应将来实现多媒体教学的计划任务我们需要对校园网进行远程管理。具体的管理功能应包括：教务管理功能、行政管理功能、虚拟网络实验室管理功能及多媒体教室的管理等。根据我们对现有市场的调查研究和针对该学院的实际需要决定选择华为的网管软件和网络设备。因为华为的设备具有较高的稳定性和良好的实用性。1.4校园网的安全性需求分析要保证整个网络的网络访问控制、物理安全和信息安全。网络硬件系统的核心是中心机房的核心交换机，因此核心交换机应该配备完善的纠错手段，保证网络连接时时通畅，一旦发生大的事故或差错，核心交换机的冗余部件应该能够迅速隔离故障，并维持设备的正常运转。同时管理员应该从校园网全局出发树立对关键设备的安全策略计划。

Internet问世以来,信息安全一直存在着，各种计算机病毒和网上黑客对Internet的攻击越来越激烈,网站遭受破坏的事例不胜枚举。[11]为了加强Internet信息安全保护,有必要制定相应有效的防护措施。解决安全性问题,需制定统一的网络安全策略和过滤机制,充分使用各种不同的技术,如虚拟局域网络,服务代理、防火墙等。从数据安全的角度讲,还应将重要的数据服务器集中放置,以方便采取措施集中保护,并对重要数据进行备份。良好的安全对于校园网的数据、软件和硬件是绝对重要的。保证只有投权的用户才可以使用相应受限的网络资源,预防给予过高的权限，定时检查用户权限和用户组帐户有无变更,防止网络中非授权的外部访问。1.5校园网的网络规模该学院网络信息点不少于6000个因此需要建设千人规模的大型网络。其中60个多媒体教室、3个数字化语音室、4个基于企业的实验室、3个基于应用的实验室、学生宿舍以及能同时容纳2000人的图书馆都需要进入网络上网用户上千人。

2校园总体网络架构与技术规划2.1校园网设计的基本原则1、高带宽由于校园网络的庞大而复杂的特性，为保障网络的高速转发速度，校园网络的组网设计应考虑包交换无瓶颈的特点，此时要求核心交换机具备高转发性能和高带宽特性。2、可扩展性考虑小学规模不断发展的特性、学校的用户接入点数的不确定性及业务种类的多样性等特点，学校在网络建设时应充分考虑网络业务的扩展能力，主要体现在组网灵活;设备本身可扩容、接口丰富;业务类型多样等方面。3、开放性网络设计采用的关键技术符合国际及国内标准，避免使用个别厂家的内部技术标准。采用开放性网络体系结构以方便后期网络的升级、扩展及互联。4、安全可靠性校园网络设计重点考虑网络的稳定可靠性。为防止单点故障引起网络瘫痪，校园网络应具备链路备份，网络故障自愈等特性，5、易管理性网络建设应考虑后期网络维护管理的便捷。合理的网络规划，比如IP地址和VLAN的规划、网络结构的规划等都将网络的日常维护变得简单易控。6、经济性由于网络的建设需投入大量的人力、物力和财力，因此网络建设需考虑学校实际情况。设备的选择考虑性价比较高的产品，易于升级换代且能最大限度的保留原有设备。网络建设时考虑业务的扩展能力，针对不同用户可提供丰富的宽带增值业务，提高网络的经济型。2.2分层网络设计校园网采用分层设计思想，网络物理结构按照核心层、汇聚层、接入层三层架构设计。核心层是局域网的主干，其主要目的是高效快速的进行数据交换，同时要为各汇聚或接入节点提供最佳传输路径。为避免影响包交换的速率，核心层不应使用访问控制列表类功能。核心交换机是整个校园网的枢纽，一旦发生故障，整个校园网就会瘫痪。因此，本方案中需要配备两台核心交换机，保证某一台交换机发生故障时，校园网用户仍可以正常通信。汇聚层是在网络中起承上启下的作用，是核心层和接入层之间的分界点，一般应用于学校建筑物比较大的场景。汇聚层的功能主要有提供重要部门的接入和VLAN间路由等。汇聚交换机上联时，应该分别连接至两台核心交换机，这样可以提供有效的备份链路，通过在核心交换机上配置MSTP，还能够实现流量均衡。接入层是为用户提供网络接入的点，它直接和用户终端连接，该层可以通过访问控制列表对用户流量进行控制。接入层的主要功能有接入汇聚层以扩大网络范围、建立单独的冲突域、提供灵活的用户接入点等。2.3校园网的总体结构设计图2.1网络拓扑结构设计图优良的拓扑结构是网络稳定可靠运行的基础。根据我们对该校的实际分析后画出的网络拓扑图如下：为了保证网络的高性能与高可靠性，此拓扑采用了三层网络、双树形物理拓扑。其中接入层交换机与汇聚层交换机部署于各区域机房内，核心交换机与防火墙、服务器部署于校核心机房内。由于网络中节点众多，链路复杂，其中的每一部分都有出故障的可能性，这种故障通常被称为单点故障。即便采用了高可靠性的分层双树型拓扑结构，仍然无法完全避免单点故障的可能性。所以我们大量采用了冗余、热备份、多链路等技术来提升网络性能、避免单点故障。各层级之间的连接采用以太网链路聚合技术将多个物理接口捆绑为一个逻辑接口来实现负载均衡与故障切换功能。汇聚层交换机采用堆叠卡实现智能堆叠、核心交换机使用CSS技术实现交换机集群、出口防火墙使用VRRP协议实现虚拟路由冗余。无论哪一层级的设备出现单点故障都能在用户无感知的情况下切换到另一设备，极大的提升了网络的健壮性。2.4IP编址与规划2.4.1IP编址方案在IP网络上，如果用户要将一台计算机连接到网络上，就需要向网络运营商申请一个IP地址。而地址分配是网络规划设计中的要点之一。地址分配方案将直接影响网络的可靠性、稳定性和可扩展性等重要性能。原则上说，网络稳定性、扩展性的分配原则与节约地址的原则相悖，为了解决这个问题我们一般分配的原则是：（1）使用尽可能大的地址空间。（2）留下空间以供将来扩展因此，具体IP地址规划如下整网使用主A类/8网段，每区域使用一个独立的16位地址段，东区对应/16，南区对应/16，北区对应/16。各区域内又依据用途划分4个18位地址段，10.x.0.0/18对应教务网络，10.x.64.0/18对应教学网络，10.x.128.0/18对应学生网络。各区域内的各建筑物则再细分为各个24位地址段，如东区教学一栋一楼教师办公室使用/24，第一教室使用/24，学生宿舍一楼则使用/24，依此类推，由于篇幅有限。具体分派不再赘述。IP地址由DHCP分派之后再由汇聚层交换机将路由汇总至18位，通过路由协议传递至其他设备以实现全网的互联互通。2.4.2IP地址分配的策略地址分配一般有四种策略即申请顺序、按行政划分、按地域划分、按拓扑方式划分。根据我们对四种分配策略的集中比较和学校的实际需求我们采用按拓扑方式划分。因为拓扑划分策略能在大规模网络中聚合正好和实际情况吻合。具体的分配策略如下。表2.1IP地址分配策略表项目IP地址范围IP地址类型选择主A类私有地址段，/8网关地址东区：10.10.x.254/24南区：10.20.x.254/24北区：10.30.x.254/24DNS地址8网络设备内部通信IP/24~/24数据中心服务器IP/24~54/24表2.2子网划分表网段IP网关IP描述/2454/24数据中心服务/1810.10.xx.254/24东区教务网络/1810.20.xx.254/24南区教务网络/1810.30.xx.254/24北区教务网络/1810.10.xx.254/24东区教学网络/1810.20.xx.254/24南区教学网络/1810.30.xx.254/24北区教学网络/1810.10.xx.254/24东区学生宿舍/1810.20.xx.254/24南区学生宿舍/1810.20.xx.254/24北区学生宿舍3选用的网络技术3.1以太网网络设计[3]以太网标准定义了在局域网中采用的线缆类型和信号处理方法，经过半个世纪的发展，以太网已经成为了当今世界上使用范围最广、通用性最强、成本最低的网络连接解决方案。在本方案的构建中，大量使用了以太网标准的线缆与组件，设计与规划中也使用了相关网络技术与规范，技术摘要介绍如下。（1）VLAN（VirtualLocalAreaNetwork）[9]VLAN即虚拟局域网，是将连接在同一物理设备上的不同终端在逻辑上划分成多个虚拟LAN的通信技术。使用此技术，可以有效的限制广播域、节省带宽，提高网络的处理能力。同时也能增强网络安全性，不同VLAN内的报文在传输时是逻辑隔离的，即一个VLAN内的用户不能和其它VLAN内的用户直接通信（除非经过配置允许）。（2）Eth-TrunkEth-Trunk即以太网链路聚合，链路聚合通过将多个物理接口捆绑为一个逻辑接口而实现增加链路带宽、提升网络可靠性的目的。捆绑之后，逻辑接口的带宽为物理接口带宽的总和，其中某一物理接口失效可无缝切换至另一物理接口，同时也可将数据流量均匀的分布到各个成员接口之中以实现负载均衡，极大的降低了链路成本的同时提高了网络的可靠性。（3）VCMP（VLANCentralManagementProtocol）VCMP即VLAN集中管理协议，此协议工作于数据链路层，它提供了一种在二层网络中同步VLAN信息，并自动保持VLAN配置信息一致的功能。在大型网络中，交换机数量众多，会有大量的VLAN信息需要配置和维护。如果仅仅依靠管理员手工操作，工作量巨大、且不能保证配置的一致性。通过VCMP来实现VLAN的集中管理即可方便快捷的解决此问题。只需在一台交换机上进行创建、删除VLAN等操作，这些变更会自动同步到指定范围内的所有交换机，从而使这些交换机无需手工操作即可实现VLAN信息的同步，既减少了在多台交换机上修改同一个数据的工作量，也保证了修改的一致性。3.2IP网络设计IPv4（InternetProtocolVersion4）协议是TCP/IP协议族中最为核心的协议之一，它工作在TCP/IP协议栈的网络层，该层与OSI参考模型的网络层相对应。网络层提供了有连接和无连接数据传输服务，有连接的传输服务可以保证数据传输的可靠性，但是在传送数据之前需要预先建立传输通道，而无连接的传输服务传输数据之前不需先建立连接，每一个数据单元独立发送，但是不保证传输的可靠性。在IP网络中，终端与终端通过IP地址来进行数据通信，但是终端与另一终端之间可能相隔许多网络设备，而各网络设备又相互连接了更多的网络设备从而形成了一张务必复杂的网络。因此，设备在发送或转发数据包时需要经过查找路由信息表的方式以确定数据应由哪个接口发送出去，此过程被称为IP寻址转发。寻址转发需要依靠路由信息来进行，而路由信息主要由三种方式产生：1、接入网络后自动生成。在为网络接口配置IP地址且接口正常工作之后设备会自动生成一条通往该网络的路由信息，此类路由信息被称为直连路由，是所有网络设备的默认行为。2、管理员手工配置。在部署小规模网络或是重要业务时，管理员可通过命令行或网页控制台等方式为设备手动添加路由信息，但此方式需要在所有目标设备上进行逐台设备、逐个条目的手工录入。不但费时费力，且极易出错。3、通过路由协议产生。路由协议是一种在路由器之间进行路由信息交互的程序，运行同一路由协议的路由器遵循共同的标准，依照管理员的配置与指定的路由器进行连接并相互交换路由信息，相比静态路由与直连路由，动态路由能以较少的工作量使网络中的路由信息达成同步。并且动态路由协议可以感知到直连链路的故障，在某一链路发生故障之后，可以通过路由信息的更新将此故障通告出去，从而使得后续数据包通过其他路径转发。但动态路由的缺点是会产生大量数据交互和计算，对网络和设备性能均有一定影响，且配置不当时可能会使用错误的路由信息进行转发决策，从而导致业务中断甚至网络瘫痪，因此对网络设备的性能、网络维护人员的技术水平均有一定要求。OSPF（OpenShortestPathFirst）OSPF即开放式最短路径优先路由协议，是目前世界上使用最广泛的动态路由协议之一，它在数据交互的过程中并不直接交互路由信息，而是将自身的各链路状态通告给邻居。邻居在收到这些链路状态信息后，以自身为起点计算通往每个网络的最短路径，然后将路径信息提交至路由表，这一特性使得OSPF在一般情况下不会出现路由决策错误。同时，在多台设备需要交互数据的环境下，OSPF采用的DR/BDR机制可以大大的减少需要维系的交互会话数量与交互数据包数量，在性能与损耗之间取得了良好的平衡。DHCP（DynamicHostConfigurationProtocol）DHCP即动态主机配置协议，在进行IP数据传输之前，进行通信的各方必须拥有一个合法的IP地址，在网络上配置IP地址通常有两种方式：由管理员手工配置或通过自动配置服务动态获取。在小型网络或是重要服务上，采用手工配置安全可靠，能够保障服务的可靠性。但是在中大型网络中，成千上万台终端采用手工配置地址是不经济且不可靠的，所以动态主机配置协议应运而生。通过动态主机配置协议，能够实现对用户IP地址的集中动态管理，极大的减轻了实现时的工作量与管理时的难度。NAT（NetworkAddressTranslation）NAT即网络地址转换，是是将IP数据报头中的IP地址转换为另一个IP地址的过程。由于校园网络内的终端统一采用的是私有IP地址，不能直接用于互联网通信，所以必须经过出口设备进行NAT转换才可与外部终端进行通信，并且这种方式可以使用少量的IP地址满足整个校园网络内的终端连接网络的需求。QoS（QualityofService）图3.12020年11月CERNET主干网流量图QoS图3.12020年11月CERNET主干网流量图QoS技术允许不同的流量不平等的竞争网络资源，如语音电话、视频会议和重要服务的数据应用在网络设备中可以优先得到服务，其他业务则在管理下得到不同的优先级处理。3.3可靠性设计VRRP（VirtualRouterRedundancyProtocol）虚拟路由冗余协议。作为网络之中的出口设备，防火墙无论在任何情况下都必须保证自身服务的高可靠性。一旦出口出现问题，那么之前为了保证网络可用性的措施全部都变为了无用功。但在部署VRRP之后，用户能够感知的设备只有一台虚拟路由器，即使某台设备出现故障，数据连接与会话也能无缝切换至备用机上，极大的增强了业务的可靠性。CSS（ClusterSwitchSystem）CSS即集群交换系统，指通将两台支持集群功能的交换机通过专用模块与线缆相互连接以形成一台逻辑上的虚拟设备。这么做的优点是可以极大的增强交换机的稳定性，集群中的交换机只要任意一台的主控板仍可工作，那么整个集群交换系统的网络业务即可稳定运行。IP-Link当防火墙处于双机热备工作模式下时，可以通过IP-Link周期性的探测指定网络的连通性来判断网络是否联通，当侦测发现链路故障影响业务时，IP-Link可主动触发主备倒换，从而保证业务不中断。3.4安全性设计DHCPSnopping在具有DHCP服务器的网络环境中，可能会出现各类针对DHCP客户端或DHCP服务器的攻击，例如攻击者冒充DHCPServer来向客户端颁发IP地址，以达到截获通信、盗取信息的目的；或是伪造DHCP请求报文对DHCPServer发起拒绝服务攻击；或是无关人员私接路由器导致区域DHCP服务混乱等，DHCPSnooping功能能够有效防止上述情况的出现，增强了DHCP服务的可靠性。IPSG（IPSourceGuard）在IP网络中，终端的相互通信主要是通过IP地址来实现，如果攻击者伪造自身IP地址为网络中某一合法用户的IP地址，则很有可能会导致敏感数据泄露、安全风险增加等。但而市面上各类终端种类繁多，同时使用网络的用户基数庞大，对每个IP地址实施手动管控显然是低效高费的手段。IPSG即用于处理这种情况，IPSG又称IP源守护，IP源防攻击等。它可以将IP地址、MAC地址、VLAN、接口编号等信息建立绑定表，当接收到的数据包与绑定数据不一致时丢弃该数据包，极大的提升了接入层设备的安全性。PortSecurityPortSecurity即端口安全，在校园网络中，有部分内部信息是不适合为外界所访问到的，但是传统的安全手段无法完全阻止外部设备接入内部网络。一旦攻击者获得内部网络的访问权限，则有可能导致数据泄露、遭受攻击等情况。端口安全功能可以作为传统物理访问控制手段的有益补充，它将网络接口与连接的设备相关联形成绑定表项，一旦发现接口上发送信息的设备为非绑定设备，则拒绝转发该信息或是直接关闭接口。在其他物理措施失效的情况下，端口安全仍然可以作为网络访问控制的最后一道防线，但由于端口安全功能的特殊性，仅在特定有安全需求的内部区域部署该功能，如在教室办公室固定网络接口上部署，可有效避免非法接入设备访问教务网络。

4校园网的实现及设备选型4.1传输介质选型传输介质是网络组成的最基本部分，用于在节点之间传递网络信号。我们在考虑到学院的实际需求后决定：在终端与接入交换机之间的连接中采用1000BASE-TX双绞线接入交换机与汇聚交换机之间采用10GBASE-SR光缆各区域汇聚交换机与核心交换机之间采用40GBASE-LR光缆服务器机房处汇聚交换机与防火墙之间采用100GBASE-SR4光缆。4.2接入层交换机选型接入层交换机担负着直接连接终端的任务，由于数量巨大，因此必须在性能与经济性之间取得平衡。另外，考虑到未来可能部署的IoT等智能设备，具有PoE功能的交换机能在未来减少升级支出与部署成本。经过综合考量，接入交换机采用华为技术有限公司生产的S5720-52X-PWR-LI-ACF交换机，搭配双SFP-10G-SR-C上行模块，双SFP-10G-CU0M5堆叠模块设计，该设备拥有48个10/100/1000Mbps自适应PoE接口，可以实现高速以太网连接，该设备搭载的智能PoE供电功能可以智能识别终端是否需要供电，确保了未来部署IoT设备时的可扩展性与面对普通设备的安全性。图4.1华为S5720-52X-PWR-LI-ACF交换机图该交换机的具体性能参数如下：表4.1华为S5720-52X-PWR-LI-ACF交换机主要功能参数表功能参数设备类型全千兆以太交换机交换方式存储-转发背板带宽336Gbps包转发率166MbpsVLAN支持支持MAC地址表16K下行端口类型10/100/1000Base-T端口数48上行端口4*10GESPF+光接口4.3汇聚交换机选型汇聚层交换机担负着连通各接入层交换机的任务，因此必须在拥有一定三层性能的同时兼顾接口数量，另外，对QoS、高可用性技术、动态路由协议也必须支持。因此，汇聚层交换机决定采用华为技术有限公司生产的S7703型智能路由交换机，此交换机专为以太网设计，拥有强大的业务处理能力以及可扩展性，对下一代网络技术也有良好的支持，每台S7703配置两块兼容SFP+接口的ES1D2X48SEC4万兆接口板用于连接接入层交换机，该接口板拥有48个万兆光端口，能够以较合理的成本提供高速率、高密度的接口。第三块接口槽位则用于安装一块ES1D2L08QX2E以太网光接口板用于接入核心交换机，该接口板拥有8个40GE速率QSFP+端口，用于将各区域中的数据高速传输至核心机房。考虑到服务器机房流量设备集中、数据流量巨大，故汇聚交换机上行采用ES1D2C08HX2H以太网光接口版，使用8个100GE速率的QSFP+端口与核心交换机连接。另外每台汇聚层交换机还需要一块ES02VSTSA集群业务子卡，用于实现集群交换系统功能。图4.2华为S7703型智能路由交换机图设备具体性能参数如下。表4.2华为S7703智能路由交换机主要性能参数表功能参数设备类型智能路由交换机交换方式分布式转发背板带宽19.2/48Tbps包转发率1440/16560MppsMAC地址表1M下行端口类型1GE/10GE/40GE/100GE业务版插槽数量3业务版接口数量2~48主控板插槽数量24.4核心交换机选型核心交换机位于核心机房内，是整个网络数据传输的中心，承载了所有网络间通信流量的转发任务，因此核心交换机的性能会直接影响到整网性能，如果核心交换机出现拥塞，则有可能影响整个网络中的所有设备。因此，核心交换机必须拥有低时延、高性能、高端口密度、高可靠性的特点。综上所述，拟采用华为CE12804型数据中心核心交换机，此交换机拥有极高的交换容量、丰富的接口配置，以及对主流及下一代网络的良好支持，每台核心交换机安装一块CE-L36CQ-FD1光接口板，100GE速率36端口。该接口板用于实现集群交换系统以及与服务器汇聚交换机互联。另外按需配置数块CE-L36LQ-FD接口板用于与各园区汇聚交换机互联，该接口能提供高密度高性能的36个40GE光接口。每台核心交换机还需配置一块ET1D2SFUC000交换网单元，此模块用于承载ET1D2VQ060006端口40GE集群业务子卡以实现集群交换功能。图4.3华为CE12804型数据中心核心交换机图设备具体性能参数如下。表4.3华为CE12804型数据中心核心交换机主要性能参数表功能参数设备类型核心交换机交换方式分布式转发背板带宽387/1161Tbps包转发率115,200Mpps下行端口类型1GE/10GE/40GE/100GE业务版插槽数量4业务版接口数量2~48主控板插槽数量24.5防火墙选型随着网络的日益普及，网络技术也在飞速发展，网络威胁数量与日俱增，而校园网络作为典型的大型网络，安全稳定，防止内外部安全威胁是保障网络稳定运行的第一要务。[14]防火墙是整个校园网络的出口，担负了面对外部网络威胁守护整个校园网以及面对内部区域减少安全威胁波及范围的重要职责。一旦防火墙失守，整个网络内的所有终端势必暴露在危险之下。因此，防火墙的选型对整个网络架构来说至关重要。在防火墙的选型中，数据吞吐量不足会导致防火墙成为整个内—外网络的瓶颈，对安全威胁的内容库更新缓慢则可能遭受0day漏洞攻击，同时必须具有完善的流量识别与溯源功能。综上，拟决定使用华为技术有限公司生产的USG9560型下一代防火墙，设备具体性能参数如下。表4.4USG9560型防火墙主要性能参数表功能参数设备类型硬件防火墙交换方式存储转发背板带宽15Tbit/s接口容量480Gbit/s下行端口类型1GE/10GE/40GE/100GE业务版插槽数量8业务版接口数量1~24主控板插槽数量25技术特性实现此次技术特性实现与展示均通过华为官方仿真实训平台eNSP（企业网络模拟器）进行，由于华为技术有限公司并未开放堆叠技术在模拟器环境中的实现，所以在本次演示之中将直接演示堆叠系统的逻辑层结构，而非物理结构。为了保证文章的可读性，本部分内容仅展示与当前主题有关的配置。5.1Eth-Trunk以太信道本部分演示的是东区接入层交换机East_ACC_SW1与East_ACC_SW2（以下简称接入交换机）与东区汇聚层交换机East_AGG_SW（以下简称汇聚交换机）将多条物理链路捆绑为逻辑链路组成以太信道，已达成提升带宽、增强稳定性的过程。图5.1逻辑链路组成图如图所示，接入层交换机与汇聚层交换机之间分别采用了两条物理链路，通过配置将其捆绑为一条链路的过程如下：先使用interfaceEth-Trunk1进入编号为1的以太信道，随后使用trunkportGigabitEthernet0/0/1to0/0/2来批量将两个接口加入至以太信道1。随后即可按照配置普通接口的方式来配置以太信道创建的虚拟接口。如配置接口类型等。图5.2将两个接口加入至以太信道1图图5.3displayinterfaceEth-Trunk1图通过displayinterfaceEth-Trunk1可以得出如下信息：如图5-1所示，虚拟接口以太信道1由两个物理接口组成，最大带宽为两接口之和，即2G，当前两个物理接口均为UP状态，所以当前带宽为2G。当我们在接口下使用Shutdown命令关闭以太信道之中的某一接口模拟线路故障之后，接口信息内可以看到该物理接口为Down状态，但是以太信道状态仍为Up，不会影响数据的转发。图5.4物理接口状态图在接口详细信息中也可以看到最大带宽仍为2G，而当前带宽变为1G。而物理接口变为开启之后则自动恢复为最大带宽。图5.5接口详细信息1图图5.6接口详细信息2图5.2DHCP动态主机配置协议本次DHCP演示模拟的是东区接入层交换机East_ACC_SW1与East_ACC_SW2（以下简称接入交换机）交换机下接入的三种不同类型主机（教务、教学、学生）向部署于东区汇聚层交换机East_AGG_SW（以下简称汇聚交换机）上的DHCP服务器分别请求不同地址的过程。图5.7DHCP服务器分别请求不同地址图其中East_Edu_Client表示东区某教务主机，East_Tch_Client表示东区某教学用主机，East_Stdn_Client则表示学生宿舍某主机主机上线并将地址模式改为DHCP后，会通过与接入交换机互联的接口发送一个DHCP请求报文，接入交换机收到报文之后会将该报文附加上该接口的VLANID将DHCP请求转发至汇聚交换机。汇聚交换机收到带有VLANtagDHCP请求报文之后会将该数据转发至预先配置好的SVI以及SVI接口下配置的DHCP服务，随后向终端下发地址与相关信息。具体配置如下：East_AGG_SWEast_AGG_SW上的关键配置#vlanbatch102030#dhcpenable#ippooleast_educationgateway-list54networkmaskexcluded-ip-address5053leaseday0hour12minute0dns-list8domain-name#ippooleast_studentgateway-list54networkmaskexcluded-ip-address5053leaseday0hour12minute0dns-list8domain-name#ippooleast_teachgateway-list54networkmaskexcluded-ip-address5053leaseday0hour12minute0dns-list8domain-name#interfaceVlanif10ipaddress54dhcpselectglobal#interfaceVlanif20ipaddress54dhcpselectglobal#interfaceVlanif30ipaddress54dhcpselectglobalEast_ACC_SW1上East_ACC_SW1上的关键配置vlanbatch1020#interfaceEth-Trunk1portlink-typetrunkporttrunkallow-passvlan1020#interfaceEthernet0/0/1portlink-typeaccessportdefaultvlan10#interfaceEthernet0/0/2portlink-typeaccessportdefaultvlan20图5.9DHCP回应的offer报文图图5.8图5.9DHCP回应的offer报文图图5.8主机获悉到的配置信息图

OSPF（OpenShortestPathFirst）开放式最短路径优先路由协议图5.10OSPF图本部分技术演示的内容为核心层交换机Core_Switch与各区域汇聚层交换机之间的OSPF邻接关系保持与路由信息交互，以达成使各区域之间的网络互联互通的目的。OSPF进程号统一使用10，AreaID则统一为0.同时，通过在核心交换机配置default-route-advertisealways来向各汇聚层交换机分发默认路由，以确保通往互联网的流量能被正确转发。汇聚层交换机与核心交换机之间采用10.254网段进行互联，以互联接口IP地址作为RouterID，同时将各下联网络宣告至OSPF以形成内部互联。关键部分配置如下：汇聚交换机上的OSPF配置汇聚交换机上的OSPF配置ospf10router-id10.254.x.xareanetwork55network55Core_Switch核心Core_Switch核心交换机上的OSPF配置ospf10router-id0default-route-advertisealwaysareanetwork55network55network55network55#iproute-static0图5.11运行Displayospf10routing图完成以上配置之后，在核心交换机上运行Displayospf10routing命令可见其他区域所有明细路由均由OSPF协议传递而来，如图5.12所示。在汇聚层交换机上运行Displayospf10routing命令同样可见其他区域所有明细路由，以及由核心交换机下发的默认路由。图5.12Displayospf10routing图此时，任意一区域内的任意主机均可与任意其他主机成功建立通信，校园网络内部通过OSPF路由协议达成完全互联互通。图5.13互联互通图图5.14互联互通2图

5.3VRRP虚拟路由冗余协议在虚拟路由冗余设计部分中，两台防火墙通过多条链路连接到同一台设备，共用一个虚拟IP地址来实现用户无感知的故障转移。其中两台防火墙通往核心交换机机的接接口为VRRP1，共用IP地址0，通往SW1的接口为VRRP2，共用IP地址图5.15VRRP图0，通往SW2的接口为VRRP3，共用IP地址0。所有虚拟IP地址均为FW1为主用设备，FW2为备用设备。同时，两台防火墙利用GE1/0/5接口实现心跳检测与配置、会话备份功能。具体配置见下防火墙FW防火墙FW2上的关键配置hrpenablehrpinterfaceGigabitEthernet1/0/5remotehrpmirrorsessionenable#interfaceGigabitEthernet1/0/0undoshutdownipaddress40vrrpvrid1virtual-ip0standbyservice-managepingpermit#interfaceGigabitEthernet1/0/1undoshutdownipaddress40vrrpvrid2virtual-ip0standby#interfaceGigabitEthernet1/0/2undoshutdownipaddress40vrrpvrid3virtual-ip0standby#interfaceGigabitEthernet1/0/5undoshutdownipaddress#防火墙FW防火墙FW1上的关键配置hrpenablehrpinterfaceGigabitEthernet1/0/5remotehrpmirrorsessionenable#interfaceGigabitEthernet1/0/0undoshutdownipaddress40vrrpvrid1virtual-ip0activeservice-managepingpermit#interfaceGigabitEthernet1/0/1undoshutdownipaddress40vrrpvrid2virtual-ip0active#interfaceGigabitEthernet1/0/2undoshutdownipaddress40vrrpvrid3virtual-ip0active#interfaceGigabitEthernet1/0/5undoshutdownipaddress40配置完成后，设备名称前会自动出现HRP_M或HRP_S字样，HRP表示热备份协议，M表示主用设备，S则表示备用设备，在设备上执行displayhrpstate命令可见具体信息如下：图5.16displayhrpstate图图5.17displayhrpstate2图在主设备上手动关闭与核心交换机直连之接口后，设备会迅速检测到链路故障，然后将备用设备切换为主用设备，并且设备切换过程不会被用户端所感知，不会影响用户的正常通信。如下图所示，在任意一PC中利用Ping命令测试与外部服务器连通性的同时将FW1上的接口关闭，设备在小于1秒的时间内进行了主备倒换的过程，且PC通信检测未显示异常。图5.18Ping命令测试图图5.19FW1上的接口关闭图图5.20检测未显示异常图

5.4NAT网络地址转换NAT服务部署于防火墙中，并且利用VRRP协议进行会话备份，由于校园网同时连接了CERNET（）与Internet（），所以需要利用多个地址转换策略对不同的目的网络进行不同的地址转换。在下面的图片中，我们可以看到同一主机访问了CERNET与Internet，但是防火墙为他分别使用不同的NAT策略，进行了不同的NAT地址转换来进行访问。图5.21访问了CERNET与Internet图图5.22NAT地址转换图图5.23NAT地址转换2图

5.5DHCPSnopping此部分演示DHCP防攻击技术DHCPSnooping的具体过程。如图所示，攻击者Attacker开启了DHCP服务并接入至学生网络内，导致PC接收到了不正确的IP信息从图5.24开启了DHCP服务图而无法联网。此时，在接入层交换机上全局开启DHCPSnooping功能，并在每个下联接口开启DHCPSnooping，在上联接口开启DHCPSnoopingTrusted之后，非法DHCP图5.25全局开启DHCPSnooping功能图服务器所发送的DHCPOffer报文被交换机丢弃，而合法DHCP服务器发送的Offer则不受影响。

5.6IPSG（IPSourceGuard）IP源防护此部分演示在内部区域利用IP源防护功能阻止用户非法更改IP地址而获得网络访问权限或进行中间人攻击的场景，如下图所示，左侧设备IP地址为48，右侧图5.26IPSG（IPSourceGuard）IP源防护图设备可以趁左侧设备离线之时修改自身IP地址为对方的IP地址，从而获得了对方的网络访问权限。图5.27网络访问权限图在开启IPSG源防护之后，只有经过DHCP服务器下发的地址才能在网络设备上建立绑定表项，无绑定表项的IP地址将无法访问网络。图5.28无法访问网络图

5.7PortSecurity端口安全此部分演示在敏感区域，外部攻击者直接物理接触到网络接口，将接口上连接的设备更换为未授权的非法设备时利用端口安全特性来保护非法用户接入的场景。在此场景中，East_Tch_Client为教室内多媒体终端，MAC地址为54-89-98-44-11-77，具有内部资料访问权限，当攻击者物理接入MAC地址为54-89-98-31-49-63非法终端之后即可轻易获取网络访问权限。图5.29多媒体终端信息图图5.30保护非法用户接入图当开启端口安全功能并配置保护之后，一旦非法终端接入网络，交换机会立即关闭该接口并产生警告信息。图5.31开启端口安全功能图6小学无线网络的测试整个无线网络系统搭建完成后，用来满足学生日益增长的上网需求，且能有效地对整个无线网络进行监控，在出现故障的第一时间能得到通知并及时处理。为此我们要对系统进行一个技术测试，主要是为了验证无线网络系统的功能性能是否能够满足校园网的需求，并能有效得被管理。在测试的基础上，为今后的实际部署累计经验。6.1测试环境硬件:无线交换机(MobilityExchangeSystem)一台;无线接入点(MobilityPoint4个;服务器一台;笔记本电脑2台。软件:笔记本电脑操作系统为Windows10.0，服务器电脑操作系统为Windows10.0版，并装有无线网络交换机管理系统;我们将选学生教学楼的第三层，第四层为测试对象。测试网络的拓扑图6.1。图6.1测试拓扑6.2无线性能测试(1)支持基于Web的认证测试目的:验证对基于web浏览器认证的支持；测试设备:1台无线交换机;1个AP;1台laptop；1台PDA;1台测试Radius服务器;1台2/3层交换机(可选);1台DHCP服务器(可选);测试环境:无线AP首先连接到二层交换机上，再通过三层交换机连接到校园网上，与认证服务器互通，如图6.2。图6.2测试拓扑测试步骤:配置AP，开放系统或使用静态WEP认证;在Radius服务器上配置Web门户网站的认证信息;配置交换机或外部DHCP服务器分配客户端地址;将laptop和PDA与AP关联，确认客户端从DHCP拿到地址;在laptop和PDA上开启一个web浏览器，WLAN应该将用户的访问重定向到Web门户网站;.确认用户能够上网。预期结果:终端向无线交换机，电信DNS(33)发送的ping包均不成功，终端显示网络连接成功，终端向无线交换机，电信DNS(33)发送ping包成功，并能访问外网测试结果:获取地址未通过认证时ping网关包不成功，认证成功后，ping网关包成功，可以访问网络。DR.COM上的日志记录尚未测试，将在正式使用时再测试。(2)支持对多SSID不同方式的认证测试目的:验证对在一个AP上多SSID及其认证的支持。测试设备:1台无线交换机;1个AP;1台laptop、1台PDA;1台测试Radius服务器;1台2/3层交换机(可选);1台DHCP服务器(可选);测试环境:无线AP首先连接到二层交换机上，再通过三层交换机连接到校园网上，与认证服务器互通，无线AP下连2台测试电脑，连接不同的SSID信号，如图6.3。.图6.3测试拓扑测试步骤在一个AP上配置两个不同的SS工D，并使用不同的认证加密认证方式;wirelessl使用2层加密，如Web认证wireless2使用静态WEPo验证客户端能够连接到这三个WLAN预期结果:系统应该支持在一个AP上能划分多个不同WLAN，并使用不同的认证方式。测试结果:终端用户搜索无线网络信号，看到的SSID为wirelessl,wireless2。首先我们先连接到wirelessl的信号，获取IP地址后，我们打开网页，通过WEB来认证，完成后，打开，发现能正常访问。注销，并连接到wireless2，这个信号里是通过WEP认证，我们输入密钥要，访问，发现能够顺利访问外网，测试成功。(3)动态RF管理测试目的:验证系统能在射频环境变化时自动调整测试设备:1台无线交换机；3个AP；2个第三方AP；3台laptop；1台文件/FTP服务器；2台2/3层交换机(可选)；测试环境:3台AP连接到一个2层交换机上，与FTP服务器互接，3个AP的信道分别为1,6,11，如图6.4图6.4测试拓扑测试步骤:开启WLAN交换机的自动射频管理法则，连上AP。如果三个AP工作在一个没有其他射频干扰的802.llb/g频段中，他们应该分别位于1,6,llchannel;用2个或更多的第三方AP和一些无线终端在一个channel中制造干扰。无线终端在制造干扰的同时从文件/FTP服务器上下载文件;当channel11的AP检测到足够多的干扰，会自动切换channel，并影响其他AP的channel/电源分配。预期结果:无线网络管理系统应该能检测到802.11射频冲突，并自动调节自身的射频网络。测试结果:首先关闭无线网络管理软件中检测非法AP的功能。测试中发现非法AP一旦接入网络，无线网络系统自动调整周围3个AP的信道(严格遵守1,6,11信道来分配)，使他们4个AP的信道互不干扰，下载速度降低，稳定后逐步上升，然后下载速度基本不变。(4)负载均衡特性测试测试目的:验证系统能根据每AP设置的用户门限数实现负载均衡测试设备:1台无线交换机；2个AP；3台laptop；1台2/3层交换机(可选)；测试环境:2个AP首先连接到2层交换机上，再通过3层交换机与无线交换机互连，如图6.5。图6.5测试拓扑测试步骤:将一个AP置于laptop附近，而另外一个远离laptop；在交换机上开启负载均衡；将用户门限数设置为3或更大；同时将所有laptop连接无线网络，所有的三个laptop都应该连接在距离较近的AP上；断开所有的laptop连接；将用户门限数设置为2；同时将所有laptop连接无线网络；确认第三个laptop应该连接到第二个AP。预期结果:无线终端默认应该连入最强信号的AP;开启负载均衡后，所有超过用户门限数的无线终端都会连入其他AP。测试结果:无线终端自动连接到信号较弱AP2上。(5)带宽控制测试目的:验证系统能为不同等级的用户提供带宽控制测试设备:1台无线交换机；1个AP；2个无线终端；1台测试Radius服务器；1台2/3层交换机(可选)；测试环境:AP首先连接到2层交换机上，再通过3层交换机与无线交换机互通，如图6.6。图6.6测试拓扑测试步骤:.将一个无线网络为guest用户配置为开放系统，另外一个无线网络为学生用户配置为静态WEP认证;对guest用户限速10Mbps;使用一台笔记本电脑以guest身份连入无线网络;确认带宽最高为10Mbps;将第二台无线终端以学生身份连入无线网络，确认带宽比guest用户高。预期结果:无线系统能为不同等级的用户提供带宽控制。测试结果:实际测试下行流量65k/S，关掉限制后，上升至1.5M/So(6)无限制接入模式下的性能测试测试目的:评测多用户无限制接入时，无线网络吞吐量，延迟情况及承受能力测试设备:1台无线交换机;3个AP;4至5台配备无线网卡的计算机;1台2/3层交换机(可选);测试环境:一个AP首先连接到2层交换机上，再通过3层交换机与无线交换机互通，如图6.7。图6.7测试拓扑测试步骤:设置其中一枚AP在Distribute模式下，无认证接入，并开放无限制网络服多用户同时接入此AP，并以较大数据量(流媒体等)访问网络;测量数据吞吐量，检查网络延迟，丢包率等参数并测出AP极限承受能力预期结果:当一个用户连入网络时候，ping值较好，多个用户连入时，会产生丢包。测试结果:较小数据流量时的网络状况:平均数据包响应时间为lOms较大数据流量时的网络状况(四台PC机通过同一AP点播流媒体):见表6.1所示。表6.1测试数据四台主机可以流畅播放节目，Web服务可以访问;网络延迟高于较小数据流量的情况。（7）限流模式下的性能测试测试目的:评测限流情况下，多用户接入时无线网络带宽分配性能，流量限制，及对用户基本应用(Web,Email等)的满足测试设备:1台无线交换机;3个AP;4至5台配备无线网卡的计算机;1台2/3层交换机(可选)测试环境:一个AP首先连接到2层交换机上，再通过3层交换机与无线交换机互通，如图6.8。图6.8测试拓扑测试步骤:启用无线网络管理软件中RF管理，将其中一枚AP的接入带宽限制在2Mbps，开放无认证接入服务;多用户同时接入此AP，以较大数据量(流媒体等)访问网络;观测网络性能趋势在较大数据流量应用明显受到限制时，测量网络延迟，丢包率，另行访问Web及Email服务，验证网络拥塞时最坏情况下网络基本应用无障碍，带宽资源公平分配。预期结果:当一个用户连入网络时候，ping值较好，多个用户连入时，会产生丢包。测试结果:较大数据流量时的网络状况(四台PC机通过同一AP点播流媒体):如表6.2所示。表6.1测试数据由于受到带宽限制，流媒体点播时出现明显停顿现象，但Web等低带宽要求的服务仍然可以访问;另外由于带宽限制功能对设备处理能力的消耗，网络延迟有所升高。(8)Layer2AP即插即用测试目的:测试AP是否可以即插即用测试设备:1台无线交换机；1个AP；1个无线终端；1台2层交换机；测试环境:一个AP连接到2层交换机上，与无线交换机互通，如图6.9。图6.9测试拓扑测试步骤:把待测AP加电观察无线交换机上的AP列表打开笔记本电脑的无线连接，使之关联到待测AP上在笔记本电脑上向无线交换机发送P工NG数据包预期结果:AP加电后，在无线网络管理软件中能发现此AP，然后在AP列表里能看到此AP的MAC地址，IP地址。测试结果:步骤2中，无线交换机上可以看到AP信息步骤3中，笔记本电脑可以成功关联到待测AP步骤4中，笔记本电脑可以成功PING通无线交换机AP不需要预先设置IP地址AP在30秒内自动被无线交换机发现，终端可以搜索到测试ap的ssid，连接上这个SSID的终端设备可以获取到地址，可以ping通无线交换机，并可以访问网络。(9)Layer3AP即插即用测试目的:在3层网络中，AP即插即用测试设备:1台无线交换机;1个AP;1个无线终端;1台2/3层交换机;测试环境:一个AP首先连接到2层交换机上，再通过3层交换机与无线交换机互通，如图6.10。图6.10测试拓扑测试步骤:把待测AP加电观察无线交换机上的AP列表打开终端用户无线连接，使之关联到待测AP上在终端用户上向无线交换机发送PING数据包预期结果:AP上不设置IP地址，然后放到3层网络中，AP加电，然后接入网络，然后打开无线网络控制软件，查看AP信息，应该看到AP的IP地址为当前3层网络的IP地址，然后终端用户接入AP，能够顺利上网。测试结果:步骤2中，无线交换机上可以看到AP信息步骤3中，终端用户可以成功关联到待测AP步骤4中，终端用户可以成功PING通无线交换机AP不需要预先设置IP地址AP上电后，AP由于无线交换机分配地址，30秒内在无线交换机上可以看到AP的信息，终端用户可以搜索到测试ap的SSID，获取到由DHCP服务器分发的地址，可以ping通无线交换机以及访问网络。(10)VLAN内部漫游测试目的:验证一个客户端能在一个VLAN中不同的AP之间漫游并测量切换时间。测试设备:1台无线交换机；2个AP；1个无线终端；1台2/3层交换机(可选)；测试环境:一个AP首先连接到2层交换机上，在通过3层交换机与无线交换机互通，如图6.11。图6.11测试拓扑测试步骤:将两个AP配置入同一个VLAN;将客户端连入无线网络。注意客户端连入的AP，在客户端开启一个连续ping;将客户端向另外一个AP处移动;计算在漫游时的丢包书。预期结果:无线终端能够在一个VLAN内部的AP间漫游，并做到基本上不丢包。测试结果:自动切换，IP地址不变，ping网关过程不掉包。(11)VLAN间漫游测试目的:验证一个客户端能在一个WLAN交换机上不同VLAN的AP之间漫游并测量切换时间。测试设备:1台无线交换机;2个AP;1个无线终端;1台2/3层交换机(可选);测试环境:一个AP首先连接到2层交换机上，再通过3层交换机与无线交换机互通，如图6.12。图6.12测试拓扑测试步骤:将两个AP配置入不同的VLAN；将客户端连入无线网络。注意客户端连入的AP，在客户端开启一个连续ping；将客户端向另外一个AP处移动；计算在漫游时的丢包书。预期结果:无线终端能够在不同VLAN的AP间漫游，并做到基本上不丢包。测试结果:AP由AC分配固定地址(如要自动获取地址，要在DHCP服务器上做相关设置)测试机在两个AP之间自动切换，IP地址不变，ping网关过程不掉包。(3层切换因对网络交换机配置要求比较多，且作用不是很大，固不推荐使用，相关功能完全可以由2层切换+TRUNK来实现)。6.3测试结论测试从11个方面来检测整个系统，包括支持基于web认证;支持对多SSID不同方式认证;动态RF管理;负载均衡特