【基于eNsp平臺(tái)的小學(xué)無(wú)線網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)18000字（論文）】

PAGEPAGE2基于eNsp平臺(tái)的小學(xué)無(wú)線網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)目錄TOC\o"1-3"\h\u32612摘要 I220461引言 1243861.1校園網(wǎng)的環(huán)境分析 1100961.2校園網(wǎng)的業(yè)務(wù)需求分析 1251581.3校園網(wǎng)的管理需求分析 2320131.4校園網(wǎng)的安全性需求分析 2313771.5校園網(wǎng)的網(wǎng)絡(luò)規(guī)模 2187972校園總體網(wǎng)絡(luò)架構(gòu)與技術(shù)規(guī)劃 3132632.1校園網(wǎng)設(shè)計(jì)的基本原則 3103022.2分層網(wǎng)絡(luò)設(shè)計(jì) 3181422.3校園網(wǎng)的總體結(jié)構(gòu)設(shè)計(jì) 487262.4IP編址與規(guī)劃 5218682.4.1IP編址方案 5103782.4.2IP地址分配的策略 578703選用的網(wǎng)絡(luò)技術(shù) 722183.1以太網(wǎng)網(wǎng)絡(luò)設(shè)計(jì) 7214373.2IP網(wǎng)絡(luò)設(shè)計(jì) 7196363.3可靠性設(shè)計(jì) 9136163.4安全性設(shè)計(jì) 1071134校園網(wǎng)的實(shí)現(xiàn)及設(shè)備選型 12310444.1傳輸介質(zhì)選型 1263184.2接入層交換機(jī)選型 1240494.3匯聚交換機(jī)選型 13295594.4核心交換機(jī)選型 14209384.5防火墻選型 15116975技術(shù)特性實(shí)現(xiàn) 16156885.1Eth-Trunk以太信道 16196615.2DHCP動(dòng)態(tài)主機(jī)配置協(xié)議 18109585.3VRRP虛擬路由冗余協(xié)議 24217115.4NAT網(wǎng)絡(luò)地址轉(zhuǎn)換 2735035.5DHCPSnopping 28301005.6IPSG（IPSourceGuard）IP源防護(hù) 2983945.7PortSecurity端口安全 30264106小學(xué)無(wú)線網(wǎng)絡(luò)的測(cè)試 31107386.1測(cè)試環(huán)境 3156506.2無(wú)線性能測(cè)試 3145366.3測(cè)試結(jié)論 43149686.4存在的問(wèn)題 4419748參考文獻(xiàn) 46摘要隨著計(jì)算機(jī)、通信和多媒體技術(shù)的發(fā)展，使得網(wǎng)絡(luò)上的應(yīng)用更加豐富。同時(shí)在多媒體教育和管理等方面的需求，對(duì)校園網(wǎng)絡(luò)也提出進(jìn)一步的要求。因此需要一個(gè)高速的、先進(jìn)的、可擴(kuò)展的校園計(jì)算機(jī)網(wǎng)絡(luò)以適應(yīng)當(dāng)前網(wǎng)絡(luò)技術(shù)發(fā)展的趨勢(shì)并滿(mǎn)足學(xué)校各方面應(yīng)用的需要。作為教育基石的學(xué)校，在培養(yǎng)先進(jìn)的人才的同時(shí)，也迫切需要有高性能、高可靠性、擴(kuò)展性好的網(wǎng)絡(luò)解決方案。本次嘉興高級(jí)小學(xué)的校園網(wǎng)的設(shè)計(jì)遵循了“應(yīng)用為本”的原則，所以在應(yīng)用的基礎(chǔ)上設(shè)計(jì)局域網(wǎng),并且為了能夠滿(mǎn)足未來(lái)幾年內(nèi)用戶(hù)對(duì)網(wǎng)絡(luò)帶寬的需要，還考慮了網(wǎng)絡(luò)規(guī)模和帶寬的擴(kuò)展能力。規(guī)劃校園網(wǎng)時(shí)，不僅考慮到現(xiàn)有局域網(wǎng)的情況，更主要的是著眼于為未來(lái)的學(xué)校提供既符合經(jīng)濟(jì)原則，又具有技術(shù)先進(jìn)性和實(shí)用性的發(fā)展策略。為此在具體工作中要努力貫徹先進(jìn)性,開(kāi)放性,擴(kuò)充性,可靠性,實(shí)用性,安全性,可維護(hù)性,可操作性等原則。關(guān)鍵詞：校園網(wǎng)，網(wǎng)絡(luò)協(xié)議，網(wǎng)絡(luò)方案設(shè)計(jì)，Internet技術(shù)1引言1.1校園網(wǎng)的環(huán)境分析嘉興高級(jí)小學(xué)約有4000人，校園內(nèi)建有1個(gè)網(wǎng)絡(luò)中心、60個(gè)多媒體教室1幢行政樓，6幢教學(xué)樓，5幢宿舍，1個(gè)圖書(shū)館和1個(gè)實(shí)訓(xùn)中心,建成了基于網(wǎng)絡(luò)的虛擬實(shí)驗(yàn)室以及現(xiàn)代化的在線教學(xué)管理系統(tǒng)，學(xué)生人手一臺(tái)平板電腦，利用平板電腦，學(xué)生以有線或無(wú)線方式在校園的任一角落可隨時(shí)接入高速校園網(wǎng)絡(luò)，總計(jì)6000個(gè)網(wǎng)絡(luò)信息點(diǎn)。東校區(qū)作為三個(gè)校區(qū)的之一﹐面積最大﹐建筑最多﹐所以應(yīng)把東校區(qū)設(shè)為主網(wǎng)絡(luò)中心。在東校區(qū)可以采用RG-S6810E千兆交換機(jī)作為核心設(shè)備。南校區(qū)采用CIscO6509千兆交換機(jī)。北校區(qū)采用RG-S5750千兆交換機(jī)。[7]為了實(shí)現(xiàn)有線與無(wú)線全面覆蓋的高質(zhì)量﹒高性能校園網(wǎng)，應(yīng)組建千兆核心網(wǎng)絡(luò)。對(duì)于布線比較方便的區(qū)域，如教學(xué)樓﹑辦公樓﹑實(shí)驗(yàn)樓等，實(shí)現(xiàn)有線接入。對(duì)于的公共區(qū)域，如會(huì)議中心,體育場(chǎng),綠化帶校園廣場(chǎng)等，和多而密的學(xué)生公寓區(qū)采用無(wú)線接入技術(shù)。室外，包括操場(chǎng)﹑道路﹑廣場(chǎng)﹑綠地園林等區(qū)域?？梢圆捎弥С諴OE供電方式的室外AP加定向或者全向天線方式。覆蓋時(shí)應(yīng)避免在AP天線與覆蓋區(qū)域之間出現(xiàn)大的障礙物。對(duì)于室內(nèi)區(qū)域不需要高而密的覆蓋﹐也選擇通過(guò)室外AP來(lái)實(shí)現(xiàn)無(wú)線室內(nèi)覆蓋。對(duì)于學(xué)生無(wú)線接入的并發(fā)高密宿舍區(qū)域進(jìn)行分層覆蓋﹐每層再通過(guò)在室內(nèi)布署無(wú)線AP來(lái)實(shí)現(xiàn)﹐將AP部署在走廊,對(duì)兩側(cè)宿舍進(jìn)行覆蓋﹐這樣可以有效的控制干擾。這樣就通過(guò)合適的布放AP來(lái)實(shí)現(xiàn)了室內(nèi)全覆蓋，用戶(hù)再通過(guò)無(wú)線網(wǎng)卡接入校園網(wǎng),從而實(shí)現(xiàn)校園室內(nèi)﹑室外網(wǎng)絡(luò)全接入。1.2校園網(wǎng)的業(yè)務(wù)需求分析由于該小學(xué)網(wǎng)絡(luò)信息點(diǎn)眾多所以需要對(duì)現(xiàn)有的信息點(diǎn)進(jìn)行一個(gè)統(tǒng)一的規(guī)劃并且對(duì)三個(gè)中心機(jī)房進(jìn)行統(tǒng)一的管理。針對(duì)該學(xué)院人手一臺(tái)平板電腦的實(shí)際情況要在校園內(nèi)組建覆蓋整個(gè)校園的強(qiáng)大虛擬網(wǎng)絡(luò)實(shí)現(xiàn)學(xué)生在校園的任一角落可隨時(shí)接入高速校園網(wǎng)絡(luò)。為了功能不受阻，應(yīng)選擇高性能的設(shè)備。[2]學(xué)校除要匹配高性能的教學(xué)辦公設(shè)備以外﹐在組網(wǎng)上也應(yīng)選擇較好的配置。學(xué)校建筑多而復(fù)雜﹐其節(jié)點(diǎn)數(shù)量更大﹐所以必須采用四層星型結(jié)構(gòu)﹐分核心層.匯聚層﹑大樓匯聚層﹒樓層接入層四個(gè)層次。在匯聚層使用大容量路由交換機(jī)，分別在辦公樓﹑教學(xué)樓﹑實(shí)驗(yàn)樓﹒圖書(shū)館內(nèi)設(shè)立分中心用于匯聚所屬的各個(gè)組團(tuán)的接入設(shè)備﹐然后通過(guò)GE線路連接到核心設(shè)備;在每座大樓匯聚層采用高性能三層千兆以太網(wǎng)路由交換機(jī)作接入設(shè)備﹐對(duì)于個(gè)別信息點(diǎn)比較少的采用高性能二層千兆以太網(wǎng)交換機(jī)作接入設(shè)備。同時(shí)在一些特殊場(chǎng)合采用無(wú)線接入;在樓層接入層采用二層以太網(wǎng)交換機(jī)﹐在一些特殊的樓內(nèi)采用無(wú)線接入。針對(duì)該學(xué)校對(duì)網(wǎng)絡(luò)的大量需求和以后實(shí)現(xiàn)學(xué)院網(wǎng)絡(luò)教學(xué)的計(jì)劃我們采用1000M的高速千兆以太網(wǎng)技術(shù)并且主線采用光纜作傳輸介質(zhì)而且需要網(wǎng)絡(luò)支持e-Mail服務(wù)并設(shè)有Web服務(wù)器。1.3校園網(wǎng)的管理需求分析為了適應(yīng)將來(lái)實(shí)現(xiàn)多媒體教學(xué)的計(jì)劃任務(wù)我們需要對(duì)校園網(wǎng)進(jìn)行遠(yuǎn)程管理。具體的管理功能應(yīng)包括：教務(wù)管理功能、行政管理功能、虛擬網(wǎng)絡(luò)實(shí)驗(yàn)室管理功能及多媒體教室的管理等。根據(jù)我們對(duì)現(xiàn)有市場(chǎng)的調(diào)查研究和針對(duì)該學(xué)院的實(shí)際需要決定選擇華為的網(wǎng)管軟件和網(wǎng)絡(luò)設(shè)備。因?yàn)槿A為的設(shè)備具有較高的穩(wěn)定性和良好的實(shí)用性。1.4校園網(wǎng)的安全性需求分析要保證整個(gè)網(wǎng)絡(luò)的網(wǎng)絡(luò)訪問(wèn)控制、物理安全和信息安全。網(wǎng)絡(luò)硬件系統(tǒng)的核心是中心機(jī)房的核心交換機(jī)，因此核心交換機(jī)應(yīng)該配備完善的糾錯(cuò)手段，保證網(wǎng)絡(luò)連接時(shí)時(shí)通暢，一旦發(fā)生大的事故或差錯(cuò)，核心交換機(jī)的冗余部件應(yīng)該能夠迅速隔離故障，并維持設(shè)備的正常運(yùn)轉(zhuǎn)。同時(shí)管理員應(yīng)該從校園網(wǎng)全局出發(fā)樹(shù)立對(duì)關(guān)鍵設(shè)備的安全策略計(jì)劃。

Internet問(wèn)世以來(lái),信息安全一直存在著，各種計(jì)算機(jī)病毒和網(wǎng)上黑客對(duì)Internet的攻擊越來(lái)越激烈,網(wǎng)站遭受破壞的事例不勝枚舉。[11]為了加強(qiáng)Internet信息安全保護(hù),有必要制定相應(yīng)有效的防護(hù)措施。解決安全性問(wèn)題,需制定統(tǒng)一的網(wǎng)絡(luò)安全策略和過(guò)濾機(jī)制,充分使用各種不同的技術(shù),如虛擬局域網(wǎng)絡(luò),服務(wù)代理、防火墻等。從數(shù)據(jù)安全的角度講,還應(yīng)將重要的數(shù)據(jù)服務(wù)器集中放置,以方便采取措施集中保護(hù),并對(duì)重要數(shù)據(jù)進(jìn)行備份。良好的安全對(duì)于校園網(wǎng)的數(shù)據(jù)、軟件和硬件是絕對(duì)重要的。保證只有投權(quán)的用戶(hù)才可以使用相應(yīng)受限的網(wǎng)絡(luò)資源,預(yù)防給予過(guò)高的權(quán)限，定時(shí)檢查用戶(hù)權(quán)限和用戶(hù)組帳戶(hù)有無(wú)變更,防止網(wǎng)絡(luò)中非授權(quán)的外部訪問(wèn)。1.5校園網(wǎng)的網(wǎng)絡(luò)規(guī)模該學(xué)院網(wǎng)絡(luò)信息點(diǎn)不少于6000個(gè)因此需要建設(shè)千人規(guī)模的大型網(wǎng)絡(luò)。其中60個(gè)多媒體教室、3個(gè)數(shù)字化語(yǔ)音室、4個(gè)基于企業(yè)的實(shí)驗(yàn)室、3個(gè)基于應(yīng)用的實(shí)驗(yàn)室、學(xué)生宿舍以及能同時(shí)容納2000人的圖書(shū)館都需要進(jìn)入網(wǎng)絡(luò)上網(wǎng)用戶(hù)上千人。

2校園總體網(wǎng)絡(luò)架構(gòu)與技術(shù)規(guī)劃2.1校園網(wǎng)設(shè)計(jì)的基本原則1、高帶寬由于校園網(wǎng)絡(luò)的龐大而復(fù)雜的特性，為保障網(wǎng)絡(luò)的高速轉(zhuǎn)發(fā)速度，校園網(wǎng)絡(luò)的組網(wǎng)設(shè)計(jì)應(yīng)考慮包交換無(wú)瓶頸的特點(diǎn)，此時(shí)要求核心交換機(jī)具備高轉(zhuǎn)發(fā)性能和高帶寬特性。2、可擴(kuò)展性考慮小學(xué)規(guī)模不斷發(fā)展的特性、學(xué)校的用戶(hù)接入點(diǎn)數(shù)的不確定性及業(yè)務(wù)種類(lèi)的多樣性等特點(diǎn)，學(xué)校在網(wǎng)絡(luò)建設(shè)時(shí)應(yīng)充分考慮網(wǎng)絡(luò)業(yè)務(wù)的擴(kuò)展能力，主要體現(xiàn)在組網(wǎng)靈活;設(shè)備本身可擴(kuò)容、接口豐富;業(yè)務(wù)類(lèi)型多樣等方面。3、開(kāi)放性網(wǎng)絡(luò)設(shè)計(jì)采用的關(guān)鍵技術(shù)符合國(guó)際及國(guó)內(nèi)標(biāo)準(zhǔn)，避免使用個(gè)別廠家的內(nèi)部技術(shù)標(biāo)準(zhǔn)。采用開(kāi)放性網(wǎng)絡(luò)體系結(jié)構(gòu)以方便后期網(wǎng)絡(luò)的升級(jí)、擴(kuò)展及互聯(lián)。4、安全可靠性校園網(wǎng)絡(luò)設(shè)計(jì)重點(diǎn)考慮網(wǎng)絡(luò)的穩(wěn)定可靠性。為防止單點(diǎn)故障引起網(wǎng)絡(luò)癱瘓，校園網(wǎng)絡(luò)應(yīng)具備鏈路備份，網(wǎng)絡(luò)故障自愈等特性，5、易管理性網(wǎng)絡(luò)建設(shè)應(yīng)考慮后期網(wǎng)絡(luò)維護(hù)管理的便捷。合理的網(wǎng)絡(luò)規(guī)劃，比如IP地址和VLAN的規(guī)劃、網(wǎng)絡(luò)結(jié)構(gòu)的規(guī)劃等都將網(wǎng)絡(luò)的日常維護(hù)變得簡(jiǎn)單易控。6、經(jīng)濟(jì)性由于網(wǎng)絡(luò)的建設(shè)需投入大量的人力、物力和財(cái)力，因此網(wǎng)絡(luò)建設(shè)需考慮學(xué)校實(shí)際情況。設(shè)備的選擇考慮性?xún)r(jià)比較高的產(chǎn)品，易于升級(jí)換代且能最大限度的保留原有設(shè)備。網(wǎng)絡(luò)建設(shè)時(shí)考慮業(yè)務(wù)的擴(kuò)展能力，針對(duì)不同用戶(hù)可提供豐富的寬帶增值業(yè)務(wù)，提高網(wǎng)絡(luò)的經(jīng)濟(jì)型。2.2分層網(wǎng)絡(luò)設(shè)計(jì)校園網(wǎng)采用分層設(shè)計(jì)思想，網(wǎng)絡(luò)物理結(jié)構(gòu)按照核心層、匯聚層、接入層三層架構(gòu)設(shè)計(jì)。核心層是局域網(wǎng)的主干，其主要目的是高效快速的進(jìn)行數(shù)據(jù)交換，同時(shí)要為各匯聚或接入節(jié)點(diǎn)提供最佳傳輸路徑。為避免影響包交換的速率，核心層不應(yīng)使用訪問(wèn)控制列表類(lèi)功能。核心交換機(jī)是整個(gè)校園網(wǎng)的樞紐，一旦發(fā)生故障，整個(gè)校園網(wǎng)就會(huì)癱瘓。因此，本方案中需要配備兩臺(tái)核心交換機(jī)，保證某一臺(tái)交換機(jī)發(fā)生故障時(shí)，校園網(wǎng)用戶(hù)仍可以正常通信。匯聚層是在網(wǎng)絡(luò)中起承上啟下的作用，是核心層和接入層之間的分界點(diǎn)，一般應(yīng)用于學(xué)校建筑物比較大的場(chǎng)景。匯聚層的功能主要有提供重要部門(mén)的接入和VLAN間路由等。匯聚交換機(jī)上聯(lián)時(shí)，應(yīng)該分別連接至兩臺(tái)核心交換機(jī)，這樣可以提供有效的備份鏈路，通過(guò)在核心交換機(jī)上配置MSTP，還能夠?qū)崿F(xiàn)流量均衡。接入層是為用戶(hù)提供網(wǎng)絡(luò)接入的點(diǎn)，它直接和用戶(hù)終端連接，該層可以通過(guò)訪問(wèn)控制列表對(duì)用戶(hù)流量進(jìn)行控制。接入層的主要功能有接入?yún)R聚層以擴(kuò)大網(wǎng)絡(luò)范圍、建立單獨(dú)的沖突域、提供靈活的用戶(hù)接入點(diǎn)等。2.3校園網(wǎng)的總體結(jié)構(gòu)設(shè)計(jì)圖2.1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)圖優(yōu)良的拓?fù)浣Y(jié)構(gòu)是網(wǎng)絡(luò)穩(wěn)定可靠運(yùn)行的基礎(chǔ)。根據(jù)我們對(duì)該校的實(shí)際分析后畫(huà)出的網(wǎng)絡(luò)拓?fù)鋱D如下：為了保證網(wǎng)絡(luò)的高性能與高可靠性，此拓?fù)洳捎昧巳龑泳W(wǎng)絡(luò)、雙樹(shù)形物理拓?fù)洹Ｆ渲薪尤雽咏粨Q機(jī)與匯聚層交換機(jī)部署于各區(qū)域機(jī)房?jī)?nèi)，核心交換機(jī)與防火墻、服務(wù)器部署于校核心機(jī)房?jī)?nèi)。由于網(wǎng)絡(luò)中節(jié)點(diǎn)眾多，鏈路復(fù)雜，其中的每一部分都有出故障的可能性，這種故障通常被稱(chēng)為單點(diǎn)故障。即便采用了高可靠性的分層雙樹(shù)型拓?fù)浣Y(jié)構(gòu)，仍然無(wú)法完全避免單點(diǎn)故障的可能性。所以我們大量采用了冗余、熱備份、多鏈路等技術(shù)來(lái)提升網(wǎng)絡(luò)性能、避免單點(diǎn)故障。各層級(jí)之間的連接采用以太網(wǎng)鏈路聚合技術(shù)將多個(gè)物理接口捆綁為一個(gè)邏輯接口來(lái)實(shí)現(xiàn)負(fù)載均衡與故障切換功能。匯聚層交換機(jī)采用堆疊卡實(shí)現(xiàn)智能堆疊、核心交換機(jī)使用CSS技術(shù)實(shí)現(xiàn)交換機(jī)集群、出口防火墻使用VRRP協(xié)議實(shí)現(xiàn)虛擬路由冗余。無(wú)論哪一層級(jí)的設(shè)備出現(xiàn)單點(diǎn)故障都能在用戶(hù)無(wú)感知的情況下切換到另一設(shè)備，極大的提升了網(wǎng)絡(luò)的健壯性。2.4IP編址與規(guī)劃2.4.1IP編址方案在IP網(wǎng)絡(luò)上，如果用戶(hù)要將一臺(tái)計(jì)算機(jī)連接到網(wǎng)絡(luò)上，就需要向網(wǎng)絡(luò)運(yùn)營(yíng)商申請(qǐng)一個(gè)IP地址。而地址分配是網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)中的要點(diǎn)之一。地址分配方案將直接影響網(wǎng)絡(luò)的可靠性、穩(wěn)定性和可擴(kuò)展性等重要性能。原則上說(shuō)，網(wǎng)絡(luò)穩(wěn)定性、擴(kuò)展性的分配原則與節(jié)約地址的原則相悖，為了解決這個(gè)問(wèn)題我們一般分配的原則是：（1）使用盡可能大的地址空間。（2）留下空間以供將來(lái)擴(kuò)展因此，具體IP地址規(guī)劃如下整網(wǎng)使用主A類(lèi)/8網(wǎng)段，每區(qū)域使用一個(gè)獨(dú)立的16位地址段，東區(qū)對(duì)應(yīng)/16，南區(qū)對(duì)應(yīng)/16，北區(qū)對(duì)應(yīng)/16。各區(qū)域內(nèi)又依據(jù)用途劃分4個(gè)18位地址段，10.x.0.0/18對(duì)應(yīng)教務(wù)網(wǎng)絡(luò)，10.x.64.0/18對(duì)應(yīng)教學(xué)網(wǎng)絡(luò)，10.x.128.0/18對(duì)應(yīng)學(xué)生網(wǎng)絡(luò)。各區(qū)域內(nèi)的各建筑物則再細(xì)分為各個(gè)24位地址段，如東區(qū)教學(xué)一棟一樓教師辦公室使用/24，第一教室使用/24，學(xué)生宿舍一樓則使用/24，依此類(lèi)推，由于篇幅有限。具體分派不再贅述。IP地址由DHCP分派之后再由匯聚層交換機(jī)將路由匯總至18位，通過(guò)路由協(xié)議傳遞至其他設(shè)備以實(shí)現(xiàn)全網(wǎng)的互聯(lián)互通。2.4.2IP地址分配的策略地址分配一般有四種策略即申請(qǐng)順序、按行政劃分、按地域劃分、按拓?fù)浞绞絼澐?。根?jù)我們對(duì)四種分配策略的集中比較和學(xué)校的實(shí)際需求我們采用按拓?fù)浞绞絼澐?。因?yàn)橥負(fù)鋭澐植呗阅茉诖笠?guī)模網(wǎng)絡(luò)中聚合正好和實(shí)際情況吻合。具體的分配策略如下。表2.1IP地址分配策略表項(xiàng)目IP地址范圍IP地址類(lèi)型選擇主A類(lèi)私有地址段，/8網(wǎng)關(guān)地址東區(qū)：10.10.x.254/24南區(qū)：10.20.x.254/24北區(qū)：10.30.x.254/24DNS地址8網(wǎng)絡(luò)設(shè)備內(nèi)部通信IP/24~/24數(shù)據(jù)中心服務(wù)器IP/24~54/24表2.2子網(wǎng)劃分表網(wǎng)段IP網(wǎng)關(guān)IP描述/2454/24數(shù)據(jù)中心服務(wù)/1810.10.xx.254/24東區(qū)教務(wù)網(wǎng)絡(luò)/1810.20.xx.254/24南區(qū)教務(wù)網(wǎng)絡(luò)/1810.30.xx.254/24北區(qū)教務(wù)網(wǎng)絡(luò)/1810.10.xx.254/24東區(qū)教學(xué)網(wǎng)絡(luò)/1810.20.xx.254/24南區(qū)教學(xué)網(wǎng)絡(luò)/1810.30.xx.254/24北區(qū)教學(xué)網(wǎng)絡(luò)/1810.10.xx.254/24東區(qū)學(xué)生宿舍/1810.20.xx.254/24南區(qū)學(xué)生宿舍/1810.20.xx.254/24北區(qū)學(xué)生宿舍3選用的網(wǎng)絡(luò)技術(shù)3.1以太網(wǎng)網(wǎng)絡(luò)設(shè)計(jì)[3]以太網(wǎng)標(biāo)準(zhǔn)定義了在局域網(wǎng)中采用的線纜類(lèi)型和信號(hào)處理方法，經(jīng)過(guò)半個(gè)世紀(jì)的發(fā)展，以太網(wǎng)已經(jīng)成為了當(dāng)今世界上使用范圍最廣、通用性最強(qiáng)、成本最低的網(wǎng)絡(luò)連接解決方案。在本方案的構(gòu)建中，大量使用了以太網(wǎng)標(biāo)準(zhǔn)的線纜與組件，設(shè)計(jì)與規(guī)劃中也使用了相關(guān)網(wǎng)絡(luò)技術(shù)與規(guī)范，技術(shù)摘要介紹如下。（1）VLAN（VirtualLocalAreaNetwork）[9]VLAN即虛擬局域網(wǎng)，是將連接在同一物理設(shè)備上的不同終端在邏輯上劃分成多個(gè)虛擬LAN的通信技術(shù)。使用此技術(shù)，可以有效的限制廣播域、節(jié)省帶寬，提高網(wǎng)絡(luò)的處理能力。同時(shí)也能增強(qiáng)網(wǎng)絡(luò)安全性，不同VLAN內(nèi)的報(bào)文在傳輸時(shí)是邏輯隔離的，即一個(gè)VLAN內(nèi)的用戶(hù)不能和其它VLAN內(nèi)的用戶(hù)直接通信（除非經(jīng)過(guò)配置允許）。（2）Eth-TrunkEth-Trunk即以太網(wǎng)鏈路聚合，鏈路聚合通過(guò)將多個(gè)物理接口捆綁為一個(gè)邏輯接口而實(shí)現(xiàn)增加鏈路帶寬、提升網(wǎng)絡(luò)可靠性的目的。捆綁之后，邏輯接口的帶寬為物理接口帶寬的總和，其中某一物理接口失效可無(wú)縫切換至另一物理接口，同時(shí)也可將數(shù)據(jù)流量均勻的分布到各個(gè)成員接口之中以實(shí)現(xiàn)負(fù)載均衡，極大的降低了鏈路成本的同時(shí)提高了網(wǎng)絡(luò)的可靠性。（3）VCMP（VLANCentralManagementProtocol）VCMP即VLAN集中管理協(xié)議，此協(xié)議工作于數(shù)據(jù)鏈路層，它提供了一種在二層網(wǎng)絡(luò)中同步VLAN信息，并自動(dòng)保持VLAN配置信息一致的功能。在大型網(wǎng)絡(luò)中，交換機(jī)數(shù)量眾多，會(huì)有大量的VLAN信息需要配置和維護(hù)。如果僅僅依靠管理員手工操作，工作量巨大、且不能保證配置的一致性。通過(guò)VCMP來(lái)實(shí)現(xiàn)VLAN的集中管理即可方便快捷的解決此問(wèn)題。只需在一臺(tái)交換機(jī)上進(jìn)行創(chuàng)建、刪除VLAN等操作，這些變更會(huì)自動(dòng)同步到指定范圍內(nèi)的所有交換機(jī)，從而使這些交換機(jī)無(wú)需手工操作即可實(shí)現(xiàn)VLAN信息的同步，既減少了在多臺(tái)交換機(jī)上修改同一個(gè)數(shù)據(jù)的工作量，也保證了修改的一致性。3.2IP網(wǎng)絡(luò)設(shè)計(jì)IPv4（InternetProtocolVersion4）協(xié)議是TCP/IP協(xié)議族中最為核心的協(xié)議之一，它工作在TCP/IP協(xié)議棧的網(wǎng)絡(luò)層，該層與OSI參考模型的網(wǎng)絡(luò)層相對(duì)應(yīng)。網(wǎng)絡(luò)層提供了有連接和無(wú)連接數(shù)據(jù)傳輸服務(wù)，有連接的傳輸服務(wù)可以保證數(shù)據(jù)傳輸?shù)目煽啃裕窃趥魉蛿?shù)據(jù)之前需要預(yù)先建立傳輸通道，而無(wú)連接的傳輸服務(wù)傳輸數(shù)據(jù)之前不需先建立連接，每一個(gè)數(shù)據(jù)單元獨(dú)立發(fā)送，但是不保證傳輸?shù)目煽啃?。在IP網(wǎng)絡(luò)中，終端與終端通過(guò)IP地址來(lái)進(jìn)行數(shù)據(jù)通信，但是終端與另一終端之間可能相隔許多網(wǎng)絡(luò)設(shè)備，而各網(wǎng)絡(luò)設(shè)備又相互連接了更多的網(wǎng)絡(luò)設(shè)備從而形成了一張務(wù)必復(fù)雜的網(wǎng)絡(luò)。因此，設(shè)備在發(fā)送或轉(zhuǎn)發(fā)數(shù)據(jù)包時(shí)需要經(jīng)過(guò)查找路由信息表的方式以確定數(shù)據(jù)應(yīng)由哪個(gè)接口發(fā)送出去，此過(guò)程被稱(chēng)為IP尋址轉(zhuǎn)發(fā)。尋址轉(zhuǎn)發(fā)需要依靠路由信息來(lái)進(jìn)行，而路由信息主要由三種方式產(chǎn)生：1、接入網(wǎng)絡(luò)后自動(dòng)生成。在為網(wǎng)絡(luò)接口配置IP地址且接口正常工作之后設(shè)備會(huì)自動(dòng)生成一條通往該網(wǎng)絡(luò)的路由信息，此類(lèi)路由信息被稱(chēng)為直連路由，是所有網(wǎng)絡(luò)設(shè)備的默認(rèn)行為。2、管理員手工配置。在部署小規(guī)模網(wǎng)絡(luò)或是重要業(yè)務(wù)時(shí)，管理員可通過(guò)命令行或網(wǎng)頁(yè)控制臺(tái)等方式為設(shè)備手動(dòng)添加路由信息，但此方式需要在所有目標(biāo)設(shè)備上進(jìn)行逐臺(tái)設(shè)備、逐個(gè)條目的手工錄入。不但費(fèi)時(shí)費(fèi)力，且極易出錯(cuò)。3、通過(guò)路由協(xié)議產(chǎn)生。路由協(xié)議是一種在路由器之間進(jìn)行路由信息交互的程序，運(yùn)行同一路由協(xié)議的路由器遵循共同的標(biāo)準(zhǔn)，依照管理員的配置與指定的路由器進(jìn)行連接并相互交換路由信息，相比靜態(tài)路由與直連路由，動(dòng)態(tài)路由能以較少的工作量使網(wǎng)絡(luò)中的路由信息達(dá)成同步。并且動(dòng)態(tài)路由協(xié)議可以感知到直連鏈路的故障，在某一鏈路發(fā)生故障之后，可以通過(guò)路由信息的更新將此故障通告出去，從而使得后續(xù)數(shù)據(jù)包通過(guò)其他路徑轉(zhuǎn)發(fā)。但動(dòng)態(tài)路由的缺點(diǎn)是會(huì)產(chǎn)生大量數(shù)據(jù)交互和計(jì)算，對(duì)網(wǎng)絡(luò)和設(shè)備性能均有一定影響，且配置不當(dāng)時(shí)可能會(huì)使用錯(cuò)誤的路由信息進(jìn)行轉(zhuǎn)發(fā)決策，從而導(dǎo)致業(yè)務(wù)中斷甚至網(wǎng)絡(luò)癱瘓，因此對(duì)網(wǎng)絡(luò)設(shè)備的性能、網(wǎng)絡(luò)維護(hù)人員的技術(shù)水平均有一定要求。OSPF（OpenShortestPathFirst）OSPF即開(kāi)放式最短路徑優(yōu)先路由協(xié)議，是目前世界上使用最廣泛的動(dòng)態(tài)路由協(xié)議之一，它在數(shù)據(jù)交互的過(guò)程中并不直接交互路由信息，而是將自身的各鏈路狀態(tài)通告給鄰居。鄰居在收到這些鏈路狀態(tài)信息后，以自身為起點(diǎn)計(jì)算通往每個(gè)網(wǎng)絡(luò)的最短路徑，然后將路徑信息提交至路由表，這一特性使得OSPF在一般情況下不會(huì)出現(xiàn)路由決策錯(cuò)誤。同時(shí)，在多臺(tái)設(shè)備需要交互數(shù)據(jù)的環(huán)境下，OSPF采用的DR/BDR機(jī)制可以大大的減少需要維系的交互會(huì)話數(shù)量與交互數(shù)據(jù)包數(shù)量，在性能與損耗之間取得了良好的平衡。DHCP（DynamicHostConfigurationProtocol）DHCP即動(dòng)態(tài)主機(jī)配置協(xié)議，在進(jìn)行IP數(shù)據(jù)傳輸之前，進(jìn)行通信的各方必須擁有一個(gè)合法的IP地址，在網(wǎng)絡(luò)上配置IP地址通常有兩種方式：由管理員手工配置或通過(guò)自動(dòng)配置服務(wù)動(dòng)態(tài)獲取。在小型網(wǎng)絡(luò)或是重要服務(wù)上，采用手工配置安全可靠，能夠保障服務(wù)的可靠性。但是在中大型網(wǎng)絡(luò)中，成千上萬(wàn)臺(tái)終端采用手工配置地址是不經(jīng)濟(jì)且不可靠的，所以動(dòng)態(tài)主機(jī)配置協(xié)議應(yīng)運(yùn)而生。通過(guò)動(dòng)態(tài)主機(jī)配置協(xié)議，能夠?qū)崿F(xiàn)對(duì)用戶(hù)IP地址的集中動(dòng)態(tài)管理，極大的減輕了實(shí)現(xiàn)時(shí)的工作量與管理時(shí)的難度。NAT（NetworkAddressTranslation）NAT即網(wǎng)絡(luò)地址轉(zhuǎn)換，是是將IP數(shù)據(jù)報(bào)頭中的IP地址轉(zhuǎn)換為另一個(gè)IP地址的過(guò)程。由于校園網(wǎng)絡(luò)內(nèi)的終端統(tǒng)一采用的是私有IP地址，不能直接用于互聯(lián)網(wǎng)通信，所以必須經(jīng)過(guò)出口設(shè)備進(jìn)行NAT轉(zhuǎn)換才可與外部終端進(jìn)行通信，并且這種方式可以使用少量的IP地址滿(mǎn)足整個(gè)校園網(wǎng)絡(luò)內(nèi)的終端連接網(wǎng)絡(luò)的需求。QoS（QualityofService）圖3.12020年11月CERNET主干網(wǎng)流量圖QoS圖3.12020年11月CERNET主干網(wǎng)流量圖QoS技術(shù)允許不同的流量不平等的競(jìng)爭(zhēng)網(wǎng)絡(luò)資源，如語(yǔ)音電話、視頻會(huì)議和重要服務(wù)的數(shù)據(jù)應(yīng)用在網(wǎng)絡(luò)設(shè)備中可以?xún)?yōu)先得到服務(wù)，其他業(yè)務(wù)則在管理下得到不同的優(yōu)先級(jí)處理。3.3可靠性設(shè)計(jì)VRRP（VirtualRouterRedundancyProtocol）虛擬路由冗余協(xié)議。作為網(wǎng)絡(luò)之中的出口設(shè)備，防火墻無(wú)論在任何情況下都必須保證自身服務(wù)的高可靠性。一旦出口出現(xiàn)問(wèn)題，那么之前為了保證網(wǎng)絡(luò)可用性的措施全部都變?yōu)榱藷o(wú)用功。但在部署VRRP之后，用戶(hù)能夠感知的設(shè)備只有一臺(tái)虛擬路由器，即使某臺(tái)設(shè)備出現(xiàn)故障，數(shù)據(jù)連接與會(huì)話也能無(wú)縫切換至備用機(jī)上，極大的增強(qiáng)了業(yè)務(wù)的可靠性。CSS（ClusterSwitchSystem）CSS即集群交換系統(tǒng)，指通將兩臺(tái)支持集群功能的交換機(jī)通過(guò)專(zhuān)用模塊與線纜相互連接以形成一臺(tái)邏輯上的虛擬設(shè)備。這么做的優(yōu)點(diǎn)是可以極大的增強(qiáng)交換機(jī)的穩(wěn)定性，集群中的交換機(jī)只要任意一臺(tái)的主控板仍可工作，那么整個(gè)集群交換系統(tǒng)的網(wǎng)絡(luò)業(yè)務(wù)即可穩(wěn)定運(yùn)行。IP-Link當(dāng)防火墻處于雙機(jī)熱備工作模式下時(shí)，可以通過(guò)IP-Link周期性的探測(cè)指定網(wǎng)絡(luò)的連通性來(lái)判斷網(wǎng)絡(luò)是否聯(lián)通，當(dāng)偵測(cè)發(fā)現(xiàn)鏈路故障影響業(yè)務(wù)時(shí)，IP-Link可主動(dòng)觸發(fā)主備倒換，從而保證業(yè)務(wù)不中斷。3.4安全性設(shè)計(jì)DHCPSnopping在具有DHCP服務(wù)器的網(wǎng)絡(luò)環(huán)境中，可能會(huì)出現(xiàn)各類(lèi)針對(duì)DHCP客戶(hù)端或DHCP服務(wù)器的攻擊，例如攻擊者冒充DHCPServer來(lái)向客戶(hù)端頒發(fā)IP地址，以達(dá)到截獲通信、盜取信息的目的；或是偽造DHCP請(qǐng)求報(bào)文對(duì)DHCPServer發(fā)起拒絕服務(wù)攻擊；或是無(wú)關(guān)人員私接路由器導(dǎo)致區(qū)域DHCP服務(wù)混亂等，DHCPSnooping功能能夠有效防止上述情況的出現(xiàn)，增強(qiáng)了DHCP服務(wù)的可靠性。IPSG（IPSourceGuard）在IP網(wǎng)絡(luò)中，終端的相互通信主要是通過(guò)IP地址來(lái)實(shí)現(xiàn)，如果攻擊者偽造自身IP地址為網(wǎng)絡(luò)中某一合法用戶(hù)的IP地址，則很有可能會(huì)導(dǎo)致敏感數(shù)據(jù)泄露、安全風(fēng)險(xiǎn)增加等。但而市面上各類(lèi)終端種類(lèi)繁多，同時(shí)使用網(wǎng)絡(luò)的用戶(hù)基數(shù)龐大，對(duì)每個(gè)IP地址實(shí)施手動(dòng)管控顯然是低效高費(fèi)的手段。IPSG即用于處理這種情況，IPSG又稱(chēng)IP源守護(hù)，IP源防攻擊等。它可以將IP地址、MAC地址、VLAN、接口編號(hào)等信息建立綁定表，當(dāng)接收到的數(shù)據(jù)包與綁定數(shù)據(jù)不一致時(shí)丟棄該數(shù)據(jù)包，極大的提升了接入層設(shè)備的安全性。PortSecurityPortSecurity即端口安全，在校園網(wǎng)絡(luò)中，有部分內(nèi)部信息是不適合為外界所訪問(wèn)到的，但是傳統(tǒng)的安全手段無(wú)法完全阻止外部設(shè)備接入內(nèi)部網(wǎng)絡(luò)。一旦攻擊者獲得內(nèi)部網(wǎng)絡(luò)的訪問(wèn)權(quán)限，則有可能導(dǎo)致數(shù)據(jù)泄露、遭受攻擊等情況。端口安全功能可以作為傳統(tǒng)物理訪問(wèn)控制手段的有益補(bǔ)充，它將網(wǎng)絡(luò)接口與連接的設(shè)備相關(guān)聯(lián)形成綁定表項(xiàng)，一旦發(fā)現(xiàn)接口上發(fā)送信息的設(shè)備為非綁定設(shè)備，則拒絕轉(zhuǎn)發(fā)該信息或是直接關(guān)閉接口。在其他物理措施失效的情況下，端口安全仍然可以作為網(wǎng)絡(luò)訪問(wèn)控制的最后一道防線，但由于端口安全功能的特殊性，僅在特定有安全需求的內(nèi)部區(qū)域部署該功能，如在教室辦公室固定網(wǎng)絡(luò)接口上部署，可有效避免非法接入設(shè)備訪問(wèn)教務(wù)網(wǎng)絡(luò)。

4校園網(wǎng)的實(shí)現(xiàn)及設(shè)備選型4.1傳輸介質(zhì)選型傳輸介質(zhì)是網(wǎng)絡(luò)組成的最基本部分，用于在節(jié)點(diǎn)之間傳遞網(wǎng)絡(luò)信號(hào)。我們?cè)诳紤]到學(xué)院的實(shí)際需求后決定：在終端與接入交換機(jī)之間的連接中采用1000BASE-TX雙絞線接入交換機(jī)與匯聚交換機(jī)之間采用10GBASE-SR光纜各區(qū)域匯聚交換機(jī)與核心交換機(jī)之間采用40GBASE-LR光纜服務(wù)器機(jī)房處匯聚交換機(jī)與防火墻之間采用100GBASE-SR4光纜。4.2接入層交換機(jī)選型接入層交換機(jī)擔(dān)負(fù)著直接連接終端的任務(wù)，由于數(shù)量巨大，因此必須在性能與經(jīng)濟(jì)性之間取得平衡。另外，考慮到未來(lái)可能部署的IoT等智能設(shè)備，具有PoE功能的交換機(jī)能在未來(lái)減少升級(jí)支出與部署成本。經(jīng)過(guò)綜合考量，接入交換機(jī)采用華為技術(shù)有限公司生產(chǎn)的S5720-52X-PWR-LI-ACF交換機(jī)，搭配雙SFP-10G-SR-C上行模塊，雙SFP-10G-CU0M5堆疊模塊設(shè)計(jì)，該設(shè)備擁有48個(gè)10/100/1000Mbps自適應(yīng)PoE接口，可以實(shí)現(xiàn)高速以太網(wǎng)連接，該設(shè)備搭載的智能PoE供電功能可以智能識(shí)別終端是否需要供電，確保了未來(lái)部署IoT設(shè)備時(shí)的可擴(kuò)展性與面對(duì)普通設(shè)備的安全性。圖4.1華為S5720-52X-PWR-LI-ACF交換機(jī)圖該交換機(jī)的具體性能參數(shù)如下：表4.1華為S5720-52X-PWR-LI-ACF交換機(jī)主要功能參數(shù)表功能參數(shù)設(shè)備類(lèi)型全千兆以太交換機(jī)交換方式存儲(chǔ)-轉(zhuǎn)發(fā)背板帶寬336Gbps包轉(zhuǎn)發(fā)率166MbpsVLAN支持支持MAC地址表16K下行端口類(lèi)型10/100/1000Base-T端口數(shù)48上行端口4*10GESPF+光接口4.3匯聚交換機(jī)選型匯聚層交換機(jī)擔(dān)負(fù)著連通各接入層交換機(jī)的任務(wù)，因此必須在擁有一定三層性能的同時(shí)兼顧接口數(shù)量，另外，對(duì)QoS、高可用性技術(shù)、動(dòng)態(tài)路由協(xié)議也必須支持。因此，匯聚層交換機(jī)決定采用華為技術(shù)有限公司生產(chǎn)的S7703型智能路由交換機(jī)，此交換機(jī)專(zhuān)為以太網(wǎng)設(shè)計(jì)，擁有強(qiáng)大的業(yè)務(wù)處理能力以及可擴(kuò)展性，對(duì)下一代網(wǎng)絡(luò)技術(shù)也有良好的支持，每臺(tái)S7703配置兩塊兼容SFP+接口的ES1D2X48SEC4萬(wàn)兆接口板用于連接接入層交換機(jī)，該接口板擁有48個(gè)萬(wàn)兆光端口，能夠以較合理的成本提供高速率、高密度的接口。第三塊接口槽位則用于安裝一塊ES1D2L08QX2E以太網(wǎng)光接口板用于接入核心交換機(jī)，該接口板擁有8個(gè)40GE速率QSFP+端口，用于將各區(qū)域中的數(shù)據(jù)高速傳輸至核心機(jī)房?？紤]到服務(wù)器機(jī)房流量設(shè)備集中、數(shù)據(jù)流量巨大，故匯聚交換機(jī)上行采用ES1D2C08HX2H以太網(wǎng)光接口版，使用8個(gè)100GE速率的QSFP+端口與核心交換機(jī)連接。另外每臺(tái)匯聚層交換機(jī)還需要一塊ES02VSTSA集群業(yè)務(wù)子卡，用于實(shí)現(xiàn)集群交換系統(tǒng)功能。圖4.2華為S7703型智能路由交換機(jī)圖設(shè)備具體性能參數(shù)如下。表4.2華為S7703智能路由交換機(jī)主要性能參數(shù)表功能參數(shù)設(shè)備類(lèi)型智能路由交換機(jī)交換方式分布式轉(zhuǎn)發(fā)背板帶寬19.2/48Tbps包轉(zhuǎn)發(fā)率1440/16560MppsMAC地址表1M下行端口類(lèi)型1GE/10GE/40GE/100GE業(yè)務(wù)版插槽數(shù)量3業(yè)務(wù)版接口數(shù)量2~48主控板插槽數(shù)量24.4核心交換機(jī)選型核心交換機(jī)位于核心機(jī)房?jī)?nèi)，是整個(gè)網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)闹行?，承載了所有網(wǎng)絡(luò)間通信流量的轉(zhuǎn)發(fā)任務(wù)，因此核心交換機(jī)的性能會(huì)直接影響到整網(wǎng)性能，如果核心交換機(jī)出現(xiàn)擁塞，則有可能影響整個(gè)網(wǎng)絡(luò)中的所有設(shè)備。因此，核心交換機(jī)必須擁有低時(shí)延、高性能、高端口密度、高可靠性的特點(diǎn)。綜上所述，擬采用華為CE12804型數(shù)據(jù)中心核心交換機(jī)，此交換機(jī)擁有極高的交換容量、豐富的接口配置，以及對(duì)主流及下一代網(wǎng)絡(luò)的良好支持，每臺(tái)核心交換機(jī)安裝一塊CE-L36CQ-FD1光接口板，100GE速率36端口。該接口板用于實(shí)現(xiàn)集群交換系統(tǒng)以及與服務(wù)器匯聚交換機(jī)互聯(lián)。另外按需配置數(shù)塊CE-L36LQ-FD接口板用于與各園區(qū)匯聚交換機(jī)互聯(lián)，該接口能提供高密度高性能的36個(gè)40GE光接口。每臺(tái)核心交換機(jī)還需配置一塊ET1D2SFUC000交換網(wǎng)單元，此模塊用于承載ET1D2VQ060006端口40GE集群業(yè)務(wù)子卡以實(shí)現(xiàn)集群交換功能。圖4.3華為CE12804型數(shù)據(jù)中心核心交換機(jī)圖設(shè)備具體性能參數(shù)如下。表4.3華為CE12804型數(shù)據(jù)中心核心交換機(jī)主要性能參數(shù)表功能參數(shù)設(shè)備類(lèi)型核心交換機(jī)交換方式分布式轉(zhuǎn)發(fā)背板帶寬387/1161Tbps包轉(zhuǎn)發(fā)率115,200Mpps下行端口類(lèi)型1GE/10GE/40GE/100GE業(yè)務(wù)版插槽數(shù)量4業(yè)務(wù)版接口數(shù)量2~48主控板插槽數(shù)量24.5防火墻選型隨著網(wǎng)絡(luò)的日益普及，網(wǎng)絡(luò)技術(shù)也在飛速發(fā)展，網(wǎng)絡(luò)威脅數(shù)量與日俱增，而校園網(wǎng)絡(luò)作為典型的大型網(wǎng)絡(luò)，安全穩(wěn)定，防止內(nèi)外部安全威脅是保障網(wǎng)絡(luò)穩(wěn)定運(yùn)行的第一要?jiǎng)?wù)。[14]防火墻是整個(gè)校園網(wǎng)絡(luò)的出口，擔(dān)負(fù)了面對(duì)外部網(wǎng)絡(luò)威脅守護(hù)整個(gè)校園網(wǎng)以及面對(duì)內(nèi)部區(qū)域減少安全威脅波及范圍的重要職責(zé)。一旦防火墻失守，整個(gè)網(wǎng)絡(luò)內(nèi)的所有終端勢(shì)必暴露在危險(xiǎn)之下。因此，防火墻的選型對(duì)整個(gè)網(wǎng)絡(luò)架構(gòu)來(lái)說(shuō)至關(guān)重要。在防火墻的選型中，數(shù)據(jù)吞吐量不足會(huì)導(dǎo)致防火墻成為整個(gè)內(nèi)—外網(wǎng)絡(luò)的瓶頸，對(duì)安全威脅的內(nèi)容庫(kù)更新緩慢則可能遭受0day漏洞攻擊，同時(shí)必須具有完善的流量識(shí)別與溯源功能。綜上，擬決定使用華為技術(shù)有限公司生產(chǎn)的USG9560型下一代防火墻，設(shè)備具體性能參數(shù)如下。表4.4USG9560型防火墻主要性能參數(shù)表功能參數(shù)設(shè)備類(lèi)型硬件防火墻交換方式存儲(chǔ)轉(zhuǎn)發(fā)背板帶寬15Tbit/s接口容量480Gbit/s下行端口類(lèi)型1GE/10GE/40GE/100GE業(yè)務(wù)版插槽數(shù)量8業(yè)務(wù)版接口數(shù)量1~24主控板插槽數(shù)量25技術(shù)特性實(shí)現(xiàn)此次技術(shù)特性實(shí)現(xiàn)與展示均通過(guò)華為官方仿真實(shí)訓(xùn)平臺(tái)eNSP（企業(yè)網(wǎng)絡(luò)模擬器）進(jìn)行，由于華為技術(shù)有限公司并未開(kāi)放堆疊技術(shù)在模擬器環(huán)境中的實(shí)現(xiàn)，所以在本次演示之中將直接演示堆疊系統(tǒng)的邏輯層結(jié)構(gòu)，而非物理結(jié)構(gòu)。為了保證文章的可讀性，本部分內(nèi)容僅展示與當(dāng)前主題有關(guān)的配置。5.1Eth-Trunk以太信道本部分演示的是東區(qū)接入層交換機(jī)East_ACC_SW1與East_ACC_SW2（以下簡(jiǎn)稱(chēng)接入交換機(jī)）與東區(qū)匯聚層交換機(jī)East_AGG_SW（以下簡(jiǎn)稱(chēng)匯聚交換機(jī)）將多條物理鏈路捆綁為邏輯鏈路組成以太信道，已達(dá)成提升帶寬、增強(qiáng)穩(wěn)定性的過(guò)程。圖5.1邏輯鏈路組成圖如圖所示，接入層交換機(jī)與匯聚層交換機(jī)之間分別采用了兩條物理鏈路，通過(guò)配置將其捆綁為一條鏈路的過(guò)程如下：先使用interfaceEth-Trunk1進(jìn)入編號(hào)為1的以太信道，隨后使用trunkportGigabitEthernet0/0/1to0/0/2來(lái)批量將兩個(gè)接口加入至以太信道1。隨后即可按照配置普通接口的方式來(lái)配置以太信道創(chuàng)建的虛擬接口。如配置接口類(lèi)型等。圖5.2將兩個(gè)接口加入至以太信道1圖圖5.3displayinterfaceEth-Trunk1圖通過(guò)displayinterfaceEth-Trunk1可以得出如下信息：如圖5-1所示，虛擬接口以太信道1由兩個(gè)物理接口組成，最大帶寬為兩接口之和，即2G，當(dāng)前兩個(gè)物理接口均為UP狀態(tài)，所以當(dāng)前帶寬為2G。當(dāng)我們?cè)诮涌谙率褂肧hutdown命令關(guān)閉以太信道之中的某一接口模擬線路故障之后，接口信息內(nèi)可以看到該物理接口為Down狀態(tài)，但是以太信道狀態(tài)仍為Up，不會(huì)影響數(shù)據(jù)的轉(zhuǎn)發(fā)。圖5.4物理接口狀態(tài)圖在接口詳細(xì)信息中也可以看到最大帶寬仍為2G，而當(dāng)前帶寬變?yōu)?G。而物理接口變?yōu)殚_(kāi)啟之后則自動(dòng)恢復(fù)為最大帶寬。圖5.5接口詳細(xì)信息1圖圖5.6接口詳細(xì)信息2圖5.2DHCP動(dòng)態(tài)主機(jī)配置協(xié)議本次DHCP演示模擬的是東區(qū)接入層交換機(jī)East_ACC_SW1與East_ACC_SW2（以下簡(jiǎn)稱(chēng)接入交換機(jī)）交換機(jī)下接入的三種不同類(lèi)型主機(jī)（教務(wù)、教學(xué)、學(xué)生）向部署于東區(qū)匯聚層交換機(jī)East_AGG_SW（以下簡(jiǎn)稱(chēng)匯聚交換機(jī)）上的DHCP服務(wù)器分別請(qǐng)求不同地址的過(guò)程。圖5.7DHCP服務(wù)器分別請(qǐng)求不同地址圖其中East_Edu_Client表示東區(qū)某教務(wù)主機(jī)，East_Tch_Client表示東區(qū)某教學(xué)用主機(jī)，East_Stdn_Client則表示學(xué)生宿舍某主機(jī)主機(jī)上線并將地址模式改為DHCP后，會(huì)通過(guò)與接入交換機(jī)互聯(lián)的接口發(fā)送一個(gè)DHCP請(qǐng)求報(bào)文，接入交換機(jī)收到報(bào)文之后會(huì)將該報(bào)文附加上該接口的VLANID將DHCP請(qǐng)求轉(zhuǎn)發(fā)至匯聚交換機(jī)。匯聚交換機(jī)收到帶有VLANtagDHCP請(qǐng)求報(bào)文之后會(huì)將該數(shù)據(jù)轉(zhuǎn)發(fā)至預(yù)先配置好的SVI以及SVI接口下配置的DHCP服務(wù)，隨后向終端下發(fā)地址與相關(guān)信息。具體配置如下：East_AGG_SWEast_AGG_SW上的關(guān)鍵配置#vlanbatch102030#dhcpenable#ippooleast_educationgateway-list54networkmaskexcluded-ip-address5053leaseday0hour12minute0dns-list8domain-name#ippooleast_studentgateway-list54networkmaskexcluded-ip-address5053leaseday0hour12minute0dns-list8domain-name#ippooleast_teachgateway-list54networkmaskexcluded-ip-address5053leaseday0hour12minute0dns-list8domain-name#interfaceVlanif10ipaddress54dhcpselectglobal#interfaceVlanif20ipaddress54dhcpselectglobal#interfaceVlanif30ipaddress54dhcpselectglobalEast_ACC_SW1上East_ACC_SW1上的關(guān)鍵配置vlanbatch1020#interfaceEth-Trunk1portlink-typetrunkporttrunkallow-passvlan1020#interfaceEthernet0/0/1portlink-typeaccessportdefaultvlan10#interfaceEthernet0/0/2portlink-typeaccessportdefaultvlan20圖5.9DHCP回應(yīng)的offer報(bào)文圖圖5.8圖5.9DHCP回應(yīng)的offer報(bào)文圖圖5.8主機(jī)獲悉到的配置信息圖

OSPF（OpenShortestPathFirst）開(kāi)放式最短路徑優(yōu)先路由協(xié)議圖5.10OSPF圖本部分技術(shù)演示的內(nèi)容為核心層交換機(jī)Core_Switch與各區(qū)域匯聚層交換機(jī)之間的OSPF鄰接關(guān)系保持與路由信息交互，以達(dá)成使各區(qū)域之間的網(wǎng)絡(luò)互聯(lián)互通的目的。OSPF進(jìn)程號(hào)統(tǒng)一使用10，AreaID則統(tǒng)一為0.同時(shí)，通過(guò)在核心交換機(jī)配置default-route-advertisealways來(lái)向各匯聚層交換機(jī)分發(fā)默認(rèn)路由，以確保通往互聯(lián)網(wǎng)的流量能被正確轉(zhuǎn)發(fā)。匯聚層交換機(jī)與核心交換機(jī)之間采用10.254網(wǎng)段進(jìn)行互聯(lián)，以互聯(lián)接口IP地址作為RouterID，同時(shí)將各下聯(lián)網(wǎng)絡(luò)宣告至OSPF以形成內(nèi)部互聯(lián)。關(guān)鍵部分配置如下：匯聚交換機(jī)上的OSPF配置匯聚交換機(jī)上的OSPF配置ospf10router-id10.254.x.xareanetwork55network55Core_Switch核心Core_Switch核心交換機(jī)上的OSPF配置ospf10router-id0default-route-advertisealwaysareanetwork55network55network55network55#iproute-static0圖5.11運(yùn)行Displayospf10routing圖完成以上配置之后，在核心交換機(jī)上運(yùn)行Displayospf10routing命令可見(jiàn)其他區(qū)域所有明細(xì)路由均由OSPF協(xié)議傳遞而來(lái)，如圖5.12所示。在匯聚層交換機(jī)上運(yùn)行Displayospf10routing命令同樣可見(jiàn)其他區(qū)域所有明細(xì)路由，以及由核心交換機(jī)下發(fā)的默認(rèn)路由。圖5.12Displayospf10routing圖此時(shí)，任意一區(qū)域內(nèi)的任意主機(jī)均可與任意其他主機(jī)成功建立通信，校園網(wǎng)絡(luò)內(nèi)部通過(guò)OSPF路由協(xié)議達(dá)成完全互聯(lián)互通。圖5.13互聯(lián)互通圖圖5.14互聯(lián)互通2圖

5.3VRRP虛擬路由冗余協(xié)議在虛擬路由冗余設(shè)計(jì)部分中，兩臺(tái)防火墻通過(guò)多條鏈路連接到同一臺(tái)設(shè)備，共用一個(gè)虛擬IP地址來(lái)實(shí)現(xiàn)用戶(hù)無(wú)感知的故障轉(zhuǎn)移。其中兩臺(tái)防火墻通往核心交換機(jī)機(jī)的接接口為VRRP1，共用IP地址0，通往SW1的接口為VRRP2，共用IP地址圖5.15VRRP圖0，通往SW2的接口為VRRP3，共用IP地址0。所有虛擬IP地址均為FW1為主用設(shè)備，F(xiàn)W2為備用設(shè)備。同時(shí)，兩臺(tái)防火墻利用GE1/0/5接口實(shí)現(xiàn)心跳檢測(cè)與配置、會(huì)話備份功能。具體配置見(jiàn)下防火墻FW防火墻FW2上的關(guān)鍵配置hrpenablehrpinterfaceGigabitEthernet1/0/5remotehrpmirrorsessionenable#interfaceGigabitEthernet1/0/0undoshutdownipaddress40vrrpvrid1virtual-ip0standbyservice-managepingpermit#interfaceGigabitEthernet1/0/1undoshutdownipaddress40vrrpvrid2virtual-ip0standby#interfaceGigabitEthernet1/0/2undoshutdownipaddress40vrrpvrid3virtual-ip0standby#interfaceGigabitEthernet1/0/5undoshutdownipaddress#防火墻FW防火墻FW1上的關(guān)鍵配置hrpenablehrpinterfaceGigabitEthernet1/0/5remotehrpmirrorsessionenable#interfaceGigabitEthernet1/0/0undoshutdownipaddress40vrrpvrid1virtual-ip0activeservice-managepingpermit#interfaceGigabitEthernet1/0/1undoshutdownipaddress40vrrpvrid2virtual-ip0active#interfaceGigabitEthernet1/0/2undoshutdownipaddress40vrrpvrid3virtual-ip0active#interfaceGigabitEthernet1/0/5undoshutdownipaddress40配置完成后，設(shè)備名稱(chēng)前會(huì)自動(dòng)出現(xiàn)HRP_M或HRP_S字樣，HRP表示熱備份協(xié)議，M表示主用設(shè)備，S則表示備用設(shè)備，在設(shè)備上執(zhí)行displayhrpstate命令可見(jiàn)具體信息如下：圖5.16displayhrpstate圖圖5.17displayhrpstate2圖在主設(shè)備上手動(dòng)關(guān)閉與核心交換機(jī)直連之接口后，設(shè)備會(huì)迅速檢測(cè)到鏈路故障，然后將備用設(shè)備切換為主用設(shè)備，并且設(shè)備切換過(guò)程不會(huì)被用戶(hù)端所感知，不會(huì)影響用戶(hù)的正常通信。如下圖所示，在任意一PC中利用Ping命令測(cè)試與外部服務(wù)器連通性的同時(shí)將FW1上的接口關(guān)閉，設(shè)備在小于1秒的時(shí)間內(nèi)進(jìn)行了主備倒換的過(guò)程，且PC通信檢測(cè)未顯示異常。圖5.18Ping命令測(cè)試圖圖5.19FW1上的接口關(guān)閉圖圖5.20檢測(cè)未顯示異常圖

5.4NAT網(wǎng)絡(luò)地址轉(zhuǎn)換NAT服務(wù)部署于防火墻中，并且利用VRRP協(xié)議進(jìn)行會(huì)話備份，由于校園網(wǎng)同時(shí)連接了CERNET（）與Internet（），所以需要利用多個(gè)地址轉(zhuǎn)換策略對(duì)不同的目的網(wǎng)絡(luò)進(jìn)行不同的地址轉(zhuǎn)換。在下面的圖片中，我們可以看到同一主機(jī)訪問(wèn)了CERNET與Internet，但是防火墻為他分別使用不同的NAT策略，進(jìn)行了不同的NAT地址轉(zhuǎn)換來(lái)進(jìn)行訪問(wèn)。圖5.21訪問(wèn)了CERNET與Internet圖圖5.22NAT地址轉(zhuǎn)換圖圖5.23NAT地址轉(zhuǎn)換2圖

5.5DHCPSnopping此部分演示DHCP防攻擊技術(shù)DHCPSnooping的具體過(guò)程。如圖所示，攻擊者Attacker開(kāi)啟了DHCP服務(wù)并接入至學(xué)生網(wǎng)絡(luò)內(nèi)，導(dǎo)致PC接收到了不正確的IP信息從圖5.24開(kāi)啟了DHCP服務(wù)圖而無(wú)法聯(lián)網(wǎng)。此時(shí)，在接入層交換機(jī)上全局開(kāi)啟DHCPSnooping功能，并在每個(gè)下聯(lián)接口開(kāi)啟DHCPSnooping，在上聯(lián)接口開(kāi)啟DHCPSnoopingTrusted之后，非法DHCP圖5.25全局開(kāi)啟DHCPSnooping功能圖服務(wù)器所發(fā)送的DHCPOffer報(bào)文被交換機(jī)丟棄，而合法DHCP服務(wù)器發(fā)送的Offer則不受影響。

5.6IPSG（IPSourceGuard）IP源防護(hù)此部分演示在內(nèi)部區(qū)域利用IP源防護(hù)功能阻止用戶(hù)非法更改IP地址而獲得網(wǎng)絡(luò)訪問(wèn)權(quán)限或進(jìn)行中間人攻擊的場(chǎng)景，如下圖所示，左側(cè)設(shè)備IP地址為48，右側(cè)圖5.26IPSG（IPSourceGuard）IP源防護(hù)圖設(shè)備可以趁左側(cè)設(shè)備離線之時(shí)修改自身IP地址為對(duì)方的IP地址，從而獲得了對(duì)方的網(wǎng)絡(luò)訪問(wèn)權(quán)限。圖5.27網(wǎng)絡(luò)訪問(wèn)權(quán)限圖在開(kāi)啟IPSG源防護(hù)之后，只有經(jīng)過(guò)DHCP服務(wù)器下發(fā)的地址才能在網(wǎng)絡(luò)設(shè)備上建立綁定表項(xiàng)，無(wú)綁定表項(xiàng)的IP地址將無(wú)法訪問(wèn)網(wǎng)絡(luò)。圖5.28無(wú)法訪問(wèn)網(wǎng)絡(luò)圖

5.7PortSecurity端口安全此部分演示在敏感區(qū)域，外部攻擊者直接物理接觸到網(wǎng)絡(luò)接口，將接口上連接的設(shè)備更換為未授權(quán)的非法設(shè)備時(shí)利用端口安全特性來(lái)保護(hù)非法用戶(hù)接入的場(chǎng)景。在此場(chǎng)景中，East_Tch_Client為教室內(nèi)多媒體終端，MAC地址為54-89-98-44-11-77，具有內(nèi)部資料訪問(wèn)權(quán)限，當(dāng)攻擊者物理接入MAC地址為54-89-98-31-49-63非法終端之后即可輕易獲取網(wǎng)絡(luò)訪問(wèn)權(quán)限。圖5.29多媒體終端信息圖圖5.30保護(hù)非法用戶(hù)接入圖當(dāng)開(kāi)啟端口安全功能并配置保護(hù)之后，一旦非法終端接入網(wǎng)絡(luò)，交換機(jī)會(huì)立即關(guān)閉該接口并產(chǎn)生警告信息。圖5.31開(kāi)啟端口安全功能圖6小學(xué)無(wú)線網(wǎng)絡(luò)的測(cè)試整個(gè)無(wú)線網(wǎng)絡(luò)系統(tǒng)搭建完成后，用來(lái)滿(mǎn)足學(xué)生日益增長(zhǎng)的上網(wǎng)需求，且能有效地對(duì)整個(gè)無(wú)線網(wǎng)絡(luò)進(jìn)行監(jiān)控，在出現(xiàn)故障的第一時(shí)間能得到通知并及時(shí)處理。為此我們要對(duì)系統(tǒng)進(jìn)行一個(gè)技術(shù)測(cè)試，主要是為了驗(yàn)證無(wú)線網(wǎng)絡(luò)系統(tǒng)的功能性能是否能夠滿(mǎn)足校園網(wǎng)的需求，并能有效得被管理。在測(cè)試的基礎(chǔ)上，為今后的實(shí)際部署累計(jì)經(jīng)驗(yàn)。6.1測(cè)試環(huán)境硬件:無(wú)線交換機(jī)(MobilityExchangeSystem)一臺(tái);無(wú)線接入點(diǎn)(MobilityPoint4個(gè);服務(wù)器一臺(tái);筆記本電腦2臺(tái)。軟件:筆記本電腦操作系統(tǒng)為Windows10.0，服務(wù)器電腦操作系統(tǒng)為Windows10.0版，并裝有無(wú)線網(wǎng)絡(luò)交換機(jī)管理系統(tǒng);我們將選學(xué)生教學(xué)樓的第三層，第四層為測(cè)試對(duì)象。測(cè)試網(wǎng)絡(luò)的拓?fù)鋱D6.1。圖6.1測(cè)試拓?fù)?.2無(wú)線性能測(cè)試(1)支持基于Web的認(rèn)證測(cè)試目的:驗(yàn)證對(duì)基于web瀏覽器認(rèn)證的支持；測(cè)試設(shè)備:1臺(tái)無(wú)線交換機(jī);1個(gè)AP;1臺(tái)laptop；1臺(tái)PDA;1臺(tái)測(cè)試Radius服務(wù)器;1臺(tái)2/3層交換機(jī)(可選);1臺(tái)DHCP服務(wù)器(可選);測(cè)試環(huán)境:無(wú)線AP首先連接到二層交換機(jī)上，再通過(guò)三層交換機(jī)連接到校園網(wǎng)上，與認(rèn)證服務(wù)器互通，如圖6.2。圖6.2測(cè)試拓?fù)錅y(cè)試步驟:配置AP，開(kāi)放系統(tǒng)或使用靜態(tài)WEP認(rèn)證;在Radius服務(wù)器上配置Web門(mén)戶(hù)網(wǎng)站的認(rèn)證信息;配置交換機(jī)或外部DHCP服務(wù)器分配客戶(hù)端地址;將laptop和PDA與AP關(guān)聯(lián)，確認(rèn)客戶(hù)端從DHCP拿到地址;在laptop和PDA上開(kāi)啟一個(gè)web瀏覽器，WLAN應(yīng)該將用戶(hù)的訪問(wèn)重定向到Web門(mén)戶(hù)網(wǎng)站;.確認(rèn)用戶(hù)能夠上網(wǎng)。預(yù)期結(jié)果:終端向無(wú)線交換機(jī)，電信DNS(33)發(fā)送的ping包均不成功，終端顯示網(wǎng)絡(luò)連接成功，終端向無(wú)線交換機(jī)，電信DNS(33)發(fā)送ping包成功，并能訪問(wèn)外網(wǎng)測(cè)試結(jié)果:獲取地址未通過(guò)認(rèn)證時(shí)ping網(wǎng)關(guān)包不成功，認(rèn)證成功后，ping網(wǎng)關(guān)包成功，可以訪問(wèn)網(wǎng)絡(luò)。DR.COM上的日志記錄尚未測(cè)試，將在正式使用時(shí)再測(cè)試。(2)支持對(duì)多SSID不同方式的認(rèn)證測(cè)試目的:驗(yàn)證對(duì)在一個(gè)AP上多SSID及其認(rèn)證的支持。測(cè)試設(shè)備:1臺(tái)無(wú)線交換機(jī);1個(gè)AP;1臺(tái)laptop、1臺(tái)PDA;1臺(tái)測(cè)試Radius服務(wù)器;1臺(tái)2/3層交換機(jī)(可選);1臺(tái)DHCP服務(wù)器(可選);測(cè)試環(huán)境:無(wú)線AP首先連接到二層交換機(jī)上，再通過(guò)三層交換機(jī)連接到校園網(wǎng)上，與認(rèn)證服務(wù)器互通，無(wú)線AP下連2臺(tái)測(cè)試電腦，連接不同的SSID信號(hào)，如圖6.3。.圖6.3測(cè)試拓?fù)錅y(cè)試步驟在一個(gè)AP上配置兩個(gè)不同的SS工D，并使用不同的認(rèn)證加密認(rèn)證方式;wirelessl使用2層加密，如Web認(rèn)證wireless2使用靜態(tài)WEPo驗(yàn)證客戶(hù)端能夠連接到這三個(gè)WLAN預(yù)期結(jié)果:系統(tǒng)應(yīng)該支持在一個(gè)AP上能劃分多個(gè)不同WLAN，并使用不同的認(rèn)證方式。測(cè)試結(jié)果:終端用戶(hù)搜索無(wú)線網(wǎng)絡(luò)信號(hào)，看到的SSID為wirelessl,wireless2。首先我們先連接到wirelessl的信號(hào)，獲取IP地址后，我們打開(kāi)網(wǎng)頁(yè)，通過(guò)WEB來(lái)認(rèn)證，完成后，打開(kāi)，發(fā)現(xiàn)能正常訪問(wèn)。注銷(xiāo)，并連接到wireless2，這個(gè)信號(hào)里是通過(guò)WEP認(rèn)證，我們輸入密鑰要，訪問(wèn)，發(fā)現(xiàn)能夠順利訪問(wèn)外網(wǎng)，測(cè)試成功。(3)動(dòng)態(tài)RF管理測(cè)試目的:驗(yàn)證系統(tǒng)能在射頻環(huán)境變化時(shí)自動(dòng)調(diào)整測(cè)試設(shè)備:1臺(tái)無(wú)線交換機(jī)；3個(gè)AP；2個(gè)第三方AP；3臺(tái)laptop；1臺(tái)文件/FTP服務(wù)器；2臺(tái)2/3層交換機(jī)(可選)；測(cè)試環(huán)境:3臺(tái)AP連接到一個(gè)2層交換機(jī)上，與FTP服務(wù)器互接，3個(gè)AP的信道分別為1,6,11，如圖6.4圖6.4測(cè)試拓?fù)錅y(cè)試步驟:開(kāi)啟WLAN交換機(jī)的自動(dòng)射頻管理法則，連上AP。如果三個(gè)AP工作在一個(gè)沒(méi)有其他射頻干擾的802.llb/g頻段中，他們應(yīng)該分別位于1,6,llchannel;用2個(gè)或更多的第三方AP和一些無(wú)線終端在一個(gè)channel中制造干擾。無(wú)線終端在制造干擾的同時(shí)從文件/FTP服務(wù)器上下載文件;當(dāng)channel11的AP檢測(cè)到足夠多的干擾，會(huì)自動(dòng)切換channel，并影響其他AP的channel/電源分配。預(yù)期結(jié)果:無(wú)線網(wǎng)絡(luò)管理系統(tǒng)應(yīng)該能檢測(cè)到802.11射頻沖突，并自動(dòng)調(diào)節(jié)自身的射頻網(wǎng)絡(luò)。測(cè)試結(jié)果:首先關(guān)閉無(wú)線網(wǎng)絡(luò)管理軟件中檢測(cè)非法AP的功能。測(cè)試中發(fā)現(xiàn)非法AP一旦接入網(wǎng)絡(luò)，無(wú)線網(wǎng)絡(luò)系統(tǒng)自動(dòng)調(diào)整周?chē)?個(gè)AP的信道(嚴(yán)格遵守1,6,11信道來(lái)分配)，使他們4個(gè)AP的信道互不干擾，下載速度降低，穩(wěn)定后逐步上升，然后下載速度基本不變。(4)負(fù)載均衡特性測(cè)試測(cè)試目的:驗(yàn)證系統(tǒng)能根據(jù)每AP設(shè)置的用戶(hù)門(mén)限數(shù)實(shí)現(xiàn)負(fù)載均衡測(cè)試設(shè)備:1臺(tái)無(wú)線交換機(jī)；2個(gè)AP；3臺(tái)laptop；1臺(tái)2/3層交換機(jī)(可選)；測(cè)試環(huán)境:2個(gè)AP首先連接到2層交換機(jī)上，再通過(guò)3層交換機(jī)與無(wú)線交換機(jī)互連，如圖6.5。圖6.5測(cè)試拓?fù)錅y(cè)試步驟:將一個(gè)AP置于laptop附近，而另外一個(gè)遠(yuǎn)離laptop；在交換機(jī)上開(kāi)啟負(fù)載均衡；將用戶(hù)門(mén)限數(shù)設(shè)置為3或更大；同時(shí)將所有l(wèi)aptop連接無(wú)線網(wǎng)絡(luò)，所有的三個(gè)laptop都應(yīng)該連接在距離較近的AP上；斷開(kāi)所有的laptop連接；將用戶(hù)門(mén)限數(shù)設(shè)置為2；同時(shí)將所有l(wèi)aptop連接無(wú)線網(wǎng)絡(luò)；確認(rèn)第三個(gè)laptop應(yīng)該連接到第二個(gè)AP。預(yù)期結(jié)果:無(wú)線終端默認(rèn)應(yīng)該連入最強(qiáng)信號(hào)的AP;開(kāi)啟負(fù)載均衡后，所有超過(guò)用戶(hù)門(mén)限數(shù)的無(wú)線終端都會(huì)連入其他AP。測(cè)試結(jié)果:無(wú)線終端自動(dòng)連接到信號(hào)較弱AP2上。(5)帶寬控制測(cè)試目的:驗(yàn)證系統(tǒng)能為不同等級(jí)的用戶(hù)提供帶寬控制測(cè)試設(shè)備:1臺(tái)無(wú)線交換機(jī)；1個(gè)AP；2個(gè)無(wú)線終端；1臺(tái)測(cè)試Radius服務(wù)器；1臺(tái)2/3層交換機(jī)(可選)；測(cè)試環(huán)境:AP首先連接到2層交換機(jī)上，再通過(guò)3層交換機(jī)與無(wú)線交換機(jī)互通，如圖6.6。圖6.6測(cè)試拓?fù)錅y(cè)試步驟:.將一個(gè)無(wú)線網(wǎng)絡(luò)為guest用戶(hù)配置為開(kāi)放系統(tǒng)，另外一個(gè)無(wú)線網(wǎng)絡(luò)為學(xué)生用戶(hù)配置為靜態(tài)WEP認(rèn)證;對(duì)guest用戶(hù)限速10Mbps;使用一臺(tái)筆記本電腦以guest身份連入無(wú)線網(wǎng)絡(luò);確認(rèn)帶寬最高為10Mbps;將第二臺(tái)無(wú)線終端以學(xué)生身份連入無(wú)線網(wǎng)絡(luò)，確認(rèn)帶寬比guest用戶(hù)高。預(yù)期結(jié)果:無(wú)線系統(tǒng)能為不同等級(jí)的用戶(hù)提供帶寬控制。測(cè)試結(jié)果:實(shí)際測(cè)試下行流量65k/S，關(guān)掉限制后，上升至1.5M/So(6)無(wú)限制接入模式下的性能測(cè)試測(cè)試目的:評(píng)測(cè)多用戶(hù)無(wú)限制接入時(shí)，無(wú)線網(wǎng)絡(luò)吞吐量，延遲情況及承受能力測(cè)試設(shè)備:1臺(tái)無(wú)線交換機(jī);3個(gè)AP;4至5臺(tái)配備無(wú)線網(wǎng)卡的計(jì)算機(jī);1臺(tái)2/3層交換機(jī)(可選);測(cè)試環(huán)境:一個(gè)AP首先連接到2層交換機(jī)上，再通過(guò)3層交換機(jī)與無(wú)線交換機(jī)互通，如圖6.7。圖6.7測(cè)試拓?fù)錅y(cè)試步驟:設(shè)置其中一枚AP在Distribute模式下，無(wú)認(rèn)證接入，并開(kāi)放無(wú)限制網(wǎng)絡(luò)服多用戶(hù)同時(shí)接入此AP，并以較大數(shù)據(jù)量(流媒體等)訪問(wèn)網(wǎng)絡(luò);測(cè)量數(shù)據(jù)吞吐量，檢查網(wǎng)絡(luò)延遲，丟包率等參數(shù)并測(cè)出AP極限承受能力預(yù)期結(jié)果:當(dāng)一個(gè)用戶(hù)連入網(wǎng)絡(luò)時(shí)候，ping值較好，多個(gè)用戶(hù)連入時(shí)，會(huì)產(chǎn)生丟包。測(cè)試結(jié)果:較小數(shù)據(jù)流量時(shí)的網(wǎng)絡(luò)狀況:平均數(shù)據(jù)包響應(yīng)時(shí)間為lOms較大數(shù)據(jù)流量時(shí)的網(wǎng)絡(luò)狀況(四臺(tái)PC機(jī)通過(guò)同一AP點(diǎn)播流媒體):見(jiàn)表6.1所示。表6.1測(cè)試數(shù)據(jù)四臺(tái)主機(jī)可以流暢播放節(jié)目，Web服務(wù)可以訪問(wèn);網(wǎng)絡(luò)延遲高于較小數(shù)據(jù)流量的情況。（7）限流模式下的性能測(cè)試測(cè)試目的:評(píng)測(cè)限流情況下，多用戶(hù)接入時(shí)無(wú)線網(wǎng)絡(luò)帶寬分配性能，流量限制，及對(duì)用戶(hù)基本應(yīng)用(Web,Email等)的滿(mǎn)足測(cè)試設(shè)備:1臺(tái)無(wú)線交換機(jī);3個(gè)AP;4至5臺(tái)配備無(wú)線網(wǎng)卡的計(jì)算機(jī);1臺(tái)2/3層交換機(jī)(可選)測(cè)試環(huán)境:一個(gè)AP首先連接到2層交換機(jī)上，再通過(guò)3層交換機(jī)與無(wú)線交換機(jī)互通，如圖6.8。圖6.8測(cè)試拓?fù)錅y(cè)試步驟:啟用無(wú)線網(wǎng)絡(luò)管理軟件中RF管理，將其中一枚AP的接入帶寬限制在2Mbps，開(kāi)放無(wú)認(rèn)證接入服務(wù);多用戶(hù)同時(shí)接入此AP，以較大數(shù)據(jù)量(流媒體等)訪問(wèn)網(wǎng)絡(luò);觀測(cè)網(wǎng)絡(luò)性能趨勢(shì)在較大數(shù)據(jù)流量應(yīng)用明顯受到限制時(shí)，測(cè)量網(wǎng)絡(luò)延遲，丟包率，另行訪問(wèn)Web及Email服務(wù)，驗(yàn)證網(wǎng)絡(luò)擁塞時(shí)最壞情況下網(wǎng)絡(luò)基本應(yīng)用無(wú)障礙，帶寬資源公平分配。預(yù)期結(jié)果:當(dāng)一個(gè)用戶(hù)連入網(wǎng)絡(luò)時(shí)候，ping值較好，多個(gè)用戶(hù)連入時(shí)，會(huì)產(chǎn)生丟包。測(cè)試結(jié)果:較大數(shù)據(jù)流量時(shí)的網(wǎng)絡(luò)狀況(四臺(tái)PC機(jī)通過(guò)同一AP點(diǎn)播流媒體):如表6.2所示。表6.1測(cè)試數(shù)據(jù)由于受到帶寬限制，流媒體點(diǎn)播時(shí)出現(xiàn)明顯停頓現(xiàn)象，但Web等低帶寬要求的服務(wù)仍然可以訪問(wèn);另外由于帶寬限制功能對(duì)設(shè)備處理能力的消耗，網(wǎng)絡(luò)延遲有所升高。(8)Layer2AP即插即用測(cè)試目的:測(cè)試AP是否可以即插即用測(cè)試設(shè)備:1臺(tái)無(wú)線交換機(jī)；1個(gè)AP；1個(gè)無(wú)線終端；1臺(tái)2層交換機(jī)；測(cè)試環(huán)境:一個(gè)AP連接到2層交換機(jī)上，與無(wú)線交換機(jī)互通，如圖6.9。圖6.9測(cè)試拓?fù)錅y(cè)試步驟:把待測(cè)AP加電觀察無(wú)線交換機(jī)上的AP列表打開(kāi)筆記本電腦的無(wú)線連接，使之關(guān)聯(lián)到待測(cè)AP上在筆記本電腦上向無(wú)線交換機(jī)發(fā)送P工NG數(shù)據(jù)包預(yù)期結(jié)果:AP加電后，在無(wú)線網(wǎng)絡(luò)管理軟件中能發(fā)現(xiàn)此AP，然后在AP列表里能看到此AP的MAC地址，IP地址。測(cè)試結(jié)果:步驟2中，無(wú)線交換機(jī)上可以看到AP信息步驟3中，筆記本電腦可以成功關(guān)聯(lián)到待測(cè)AP步驟4中，筆記本電腦可以成功PING通無(wú)線交換機(jī)AP不需要預(yù)先設(shè)置IP地址AP在30秒內(nèi)自動(dòng)被無(wú)線交換機(jī)發(fā)現(xiàn)，終端可以搜索到測(cè)試ap的ssid，連接上這個(gè)SSID的終端設(shè)備可以獲取到地址，可以ping通無(wú)線交換機(jī)，并可以訪問(wèn)網(wǎng)絡(luò)。(9)Layer3AP即插即用測(cè)試目的:在3層網(wǎng)絡(luò)中，AP即插即用測(cè)試設(shè)備:1臺(tái)無(wú)線交換機(jī);1個(gè)AP;1個(gè)無(wú)線終端;1臺(tái)2/3層交換機(jī);測(cè)試環(huán)境:一個(gè)AP首先連接到2層交換機(jī)上，再通過(guò)3層交換機(jī)與無(wú)線交換機(jī)互通，如圖6.10。圖6.10測(cè)試拓?fù)錅y(cè)試步驟:把待測(cè)AP加電觀察無(wú)線交換機(jī)上的AP列表打開(kāi)終端用戶(hù)無(wú)線連接，使之關(guān)聯(lián)到待測(cè)AP上在終端用戶(hù)上向無(wú)線交換機(jī)發(fā)送PING數(shù)據(jù)包預(yù)期結(jié)果:AP上不設(shè)置IP地址，然后放到3層網(wǎng)絡(luò)中，AP加電，然后接入網(wǎng)絡(luò)，然后打開(kāi)無(wú)線網(wǎng)絡(luò)控制軟件，查看AP信息，應(yīng)該看到AP的IP地址為當(dāng)前3層網(wǎng)絡(luò)的IP地址，然后終端用戶(hù)接入AP，能夠順利上網(wǎng)。測(cè)試結(jié)果:步驟2中，無(wú)線交換機(jī)上可以看到AP信息步驟3中，終端用戶(hù)可以成功關(guān)聯(lián)到待測(cè)AP步驟4中，終端用戶(hù)可以成功PING通無(wú)線交換機(jī)AP不需要預(yù)先設(shè)置IP地址AP上電后，AP由于無(wú)線交換機(jī)分配地址，30秒內(nèi)在無(wú)線交換機(jī)上可以看到AP的信息，終端用戶(hù)可以搜索到測(cè)試ap的SSID，獲取到由DHCP服務(wù)器分發(fā)的地址，可以ping通無(wú)線交換機(jī)以及訪問(wèn)網(wǎng)絡(luò)。(10)VLAN內(nèi)部漫游測(cè)試目的:驗(yàn)證一個(gè)客戶(hù)端能在一個(gè)VLAN中不同的AP之間漫游并測(cè)量切換時(shí)間。測(cè)試設(shè)備:1臺(tái)無(wú)線交換機(jī)；2個(gè)AP；1個(gè)無(wú)線終端；1臺(tái)2/3層交換機(jī)(可選)；測(cè)試環(huán)境:一個(gè)AP首先連接到2層交換機(jī)上，在通過(guò)3層交換機(jī)與無(wú)線交換機(jī)互通，如圖6.11。圖6.11測(cè)試拓?fù)錅y(cè)試步驟:將兩個(gè)AP配置入同一個(gè)VLAN;將客戶(hù)端連入無(wú)線網(wǎng)絡(luò)。注意客戶(hù)端連入的AP，在客戶(hù)端開(kāi)啟一個(gè)連續(xù)ping;將客戶(hù)端向另外一個(gè)AP處移動(dòng);計(jì)算在漫游時(shí)的丟包書(shū)。預(yù)期結(jié)果:無(wú)線終端能夠在一個(gè)VLAN內(nèi)部的AP間漫游，并做到基本上不丟包。測(cè)試結(jié)果:自動(dòng)切換，IP地址不變，ping網(wǎng)關(guān)過(guò)程不掉包。(11)VLAN間漫游測(cè)試目的:驗(yàn)證一個(gè)客戶(hù)端能在一個(gè)WLAN交換機(jī)上不同VLAN的AP之間漫游并測(cè)量切換時(shí)間。測(cè)試設(shè)備:1臺(tái)無(wú)線交換機(jī);2個(gè)AP;1個(gè)無(wú)線終端;1臺(tái)2/3層交換機(jī)(可選);測(cè)試環(huán)境:一個(gè)AP首先連接到2層交換機(jī)上，再通過(guò)3層交換機(jī)與無(wú)線交換機(jī)互通，如圖6.12。圖6.12測(cè)試拓?fù)錅y(cè)試步驟:將兩個(gè)AP配置入不同的VLAN；將客戶(hù)端連入無(wú)線網(wǎng)絡(luò)。注意客戶(hù)端連入的AP，在客戶(hù)端開(kāi)啟一個(gè)連續(xù)ping；將客戶(hù)端向另外一個(gè)AP處移動(dòng)；計(jì)算在漫游時(shí)的丟包書(shū)。預(yù)期結(jié)果:無(wú)線終端能夠在不同VLAN的AP間漫游，并做到基本上不丟包。測(cè)試結(jié)果:AP由AC分配固定地址(如要自動(dòng)獲取地址，要在DHCP服務(wù)器上做相關(guān)設(shè)置)測(cè)試機(jī)在兩個(gè)AP之間自動(dòng)切換，IP地址不變，ping網(wǎng)關(guān)過(guò)程不掉包。(3層切換因?qū)W(wǎng)絡(luò)交換機(jī)配置要求比較多，且作用不是很大，固不推薦使用，相關(guān)功能完全可以由2層切換+TRUNK來(lái)實(shí)現(xiàn))。6.3測(cè)試結(jié)論測(cè)試從11個(gè)方面來(lái)檢測(cè)整個(gè)系統(tǒng)，包括支持基于web認(rèn)證;支持對(duì)多SSID不同方式認(rèn)證;動(dòng)態(tài)RF管理;負(fù)載均衡特