《某科技园区网络设计及ENSP模拟分析19000字（论文）》

某科技园区网络设计及ENSP模拟分析摘要：计算机网络贯穿于各行各业,且每个行业对其也愈加依赖,。因此,本设计对具有代表性对企业园区网络建设其实例的设计，以及实行方案，进行了详细介绍，主要内容有设备型号选择剖析、网络拓扑结构设计、IP编址方案规划、综合布线规划等各个层面。本设计对于园区网框架做了详细的介绍，网络拓扑大致就是接入层，汇聚层以及核心层。对于园区网无线也做了不同的设置，根据SSID分配不同的无线信号，让园区不同员工使用不同的数据。应用MPLSVPN可以很好保护园区文件的安全，它是园区私有的专用通道，每个数据都能安全加密。应用AC服务器可以很好地管理园区的AP设备，通过远程能对每个AP设备做出不用的调试确保能第一时间解决网络相关故障。设置防火墙服务器能更好的保护园区访问数据的安全性，实质也就是隔离园区网与外网，实时数据监控保护更新病毒库。ENSP模拟设备都能正常上线，每个STA都能接收到不同的SSID信号。本次方案高效的对先进性、实用性、可管理性三者的平衡问题，进行解决,成功使得整体企业园区其网络进行联通。关键词：中小型企业；交换机；园区目录212331绪论 5192161.1园区网络设计背景 5171662园区网络功能需求分析 5247582.1园区网设计分析 5170962.1.1基础网络建设分析 5183422.1.2园区网的需求分析 6254082.1.3园区业务需求分析 6216053方案设计原则 650913.1设计原则 6106283.2设计思想 7289334网络设计与实施 8131274.1网络拓扑设备的选取 8195554.2网络系统设计 889224.3总体网络地址规划 10137614.3.1VLAN及IP地址划分 1018104.3.2总体网络架构 10200354.4网络技术原理 11316724.4.1路由技术 1133114.4.2交换技术 12257214.4.3DHCP 12298194.4.4VPN 1361504.5企业有线业务设计 13113574.5.4网络结构规划 13177604.6企业无线业务设计 14162384.6.1协议标准 14277574.6.2无线覆盖 1452884.6.3覆盖范围 15195224.6.4无线SSID规划 1568484.6.5AP部署 15319534.6.6无线安全 1596474.6.7无线AP安全功能 16222254.6.8无线漫游 17136724.6.9网络管理 1792444.7光传输设备 17223434.8带宽管理方案 1891814.8.1最全面的应用识别能力 1881984.8.2精细化的流量管理功能 1823664.8.3智能阻断技术 18271854.8.4丰富的报表 1842154.8.5及时的特征库更新 1995904.9终端接入认证及行为审计设计 19259704.9.1终端接入认证方案 1995455智能系统管理设计 20123745.1智能管理设计 2045175.1.1有线智能管理设计 20327065.1.2首页个性化定制及大屏显示 20294395.1.3全面的基础资源管理 21177865.1.4易用的性能管理 23232035.1.4强大的配置管理 244615.1.5实用的IP/MAC管理 24294515.2无线智能管理设计 26233105.2.1全屏监控界面 26245705.2.2丰富的无线统计报表 2725045.3日志管理方案 28215975.3.1流日志管理 2819395.3.2实时的应用流量监控 28133755.3.3完善的流量分析与统计报表 2976195.3.4丰富的用户上网行为审计 2928995.3.5基于用户名的流量分析与审计 2967155.3.6便捷的资源与设备管理 2994465.3.7集中的图形化管理平台 29256455.3.8系统、操作日志管理 29143835结论 3029786参考文献 3217819附录 331绪论园区网络设计背景随着现在社会的高速发展，办公自动化也在逐渐的普及，所以网络的建设就显得尤为重要。网络的建设时利用各种先进、成熟的网络技术和通信技术，采用统一的网络协议(TCP/IP)，建设一个可实现各种综合网络应用的高速计算机网络系统，将各个办公室之间通过网络连接起来，与Internet相连。方便了各楼层之间的信息交流，节约了时间。使得公司在强烈的社会竞争中贏得了成功的基础。社会科技的进步以及计算机网络技术的快速发展,整个行业对网络的需求越来越大，越来越依赖，它们对网络的安全性要求也越来越看重。随着激烈的市场竞争,所有的中小企业对信息的采集、输送、分类加工、查询、储存等工作量逐渐增多，因此在提升管理水平,提高经济方面，就一定要构建具有一定可信度的企业园区网络组织。此外,对于企业其管理、生产、分销等方面的认识不足,导致集成商无法为整个园区贡献出全方位整体性的网络构建方案，这同样是中小企业其网络完成构建以后，时常出现问题的关键原因[1]。计算机网络的产生和使用为人类信息文明的发展带来了革命性的变化。企业网的建成和使用，对于一个企业来说，产品的介绍、销售、技术服务和售后服务等越来越多地采用网络的形式来完成，最主要的优点是:方便、快捷和成本低廉。其主要包括各种局域网的技术思想、网络设计方案、网络拓扑结构、布线系统、Intranet/Internet的应用、网络安全，网络系统的维护等内容。2园区网络功能需求分析2.1园区网设计分析根据科技园的网络要求和总体规划，园区基础网络建设项目应建设园区基础网络，提供安全、隔离的多业务支撑，承载者包括园区业务、企业业务等部分。园区网需要分为几个不同的业务组,例如公司服务和无线服务。用户还分为自用用户,常驻企业和外国访问者。这些用户对网络的使用有不同的要求,具有不同的访问权限,并且在安全性和服务提供级别上有很大的差异。其他服务,例如视频会议,视频监视和其他访问终端,对网络可靠性,延迟和安全性也有独特的要求。2.1.1基础网络建设分析1.园区业务:它包括园区内所有的楼宇管理业务系统，包括:从业务系统前端到管理业务后台物理层面的拓扑结构构建；数据服务层的IP地址规划、VPN分区、路由配置、调试和优化。2.企业业务:主要为园区全体员工提供日常办公和互联网服务。其内容包括:根据不同用户需求，实现各类企业用户宽带接入基础设施建设；认证计费系统的部署和调试；（1）企业有线业务主要为园区全体员工提供高速稳定的有线接入服务。包括:结合园区综合布线系统，搭建并调试有线网络，为不同需求的用户提供多种网络接入方式。（2）企业的无线业务会为园区内所有工作人员提供高速便捷的无线接入网络服务。配置从AP接入点到无线控制器的完整步骤以及调试有线/无线统一认证和计费相关的连接和调试工作。2.1.2园区网的需求分析园区业务的大力发展下,公司对网络的需求性和依赖性逐渐增大，对网络可靠性需求逐渐提升，假如网络可靠性方面出现故障，会导致内部通讯被迫中断、生产车间产品受损等不可挽回的苦果,会使得企业遭受巨大的经济亏损。所以,具有安全性的网络一定要具有以下特征[2]：（1）借助先进的网络通信技术向企业网络构建，提供帮助；（2）提高数据其传输速度,控制科技园区网络内广播域的发送范围；（3）在科技园区内部网络之中，可获得高效率的路由路径的选取；（4）在科技园区网络出口，对数据流量实行较为精确的管控；（5）可是借助少量的公网IP，完成对Internet接入；2.1.3园区业务需求分析科技园需要同时提供多种不同类型的服务，网络也需要集中部署，所以园区网络的用户要分成几个不同的功能组。这部分用户对于网络使用方面所提出的要求各不相同，因此所拥有的访问权限也各异，在所提供的安全、服务方面等级差别较大。与此同时，视频监控等接入终端在网络安全性、可靠性、延时方面的要求也较为独特。园区网络包含不同的用户组和接入终端、接入方式多种多样，同时业务提供方式更加集中化，如何保证这些用户各自业务流量的安全性，为不同的用户组和接入终端提供差异化的网络服务，实现不同接入方式下的访问权限一致性也成为至关重要的问题。3方案设计原则3.1设计原则网络搭建原则要表现出对科技园区网络技术和服务上的全面支持.这些原则必须以园区为核心，具体包括以下几个方面:模块化校园网分为核心层、汇聚层和接入层，每一层、每一个单元或每一个业务都分为一个模块。模块内的调整涉及范围小，便于定位问题。冗余性贵重设备必须使用双机虚拟化冗余设计；重要链路经过链路聚合进行冗余备份和负载共享。贵重设备的电源、主控板和重要部件的冗余备份。提升整个网络的稳定性。安全隔离园区网一定要具备具可靠对安全控制。依照公司、业务、权限的不同，可进行逻辑隔离，或者物理隔离，划分出特别重要的业务。可管理性和可维护性网络必须有良好的可操作性。为了方便操作，必须选择集成度高、模块通用的设备。开放性使用一种开放的网络架构,可以快速反应对网络升级和改造以及扩展与互连的需求。并且当用户选择与网络相关的产品和服务器使用时,网络产品必须要求其是否能够接受到一个国际性标准化的网络协议。易用性软件系统需要具有良好的易用性,使得用户的图形界面简单易行并且还带有帮助和查询的功能,这样就可以让用户通过web方式查询到相关的问题。3.2设计思想领先的高带宽平台整个网采用容量大的业务承载，出口带宽高达100G，实现未来带宽增长的需求。网络产品实现高密度端口以及紧凑设计，极大地节省空间。强大的业务支撑能力根据楼层的使用情况，增加接入设备进行有线接入或无线覆盖。通过组网需求，并部署多种VPN隧道，可以实现传统接入请求和新兴业务请求，以及实现多业务融合的多种承载需求。满足用户多出口网络需求。丰富的IPv6过渡技术可向丰富的IPv6功能，给予支持，当中IPv6通过专线完成接入，并支持双栈技术、隧道技术、翻译技术。给予健全的IPv4-IPv6处理方案，并使得各类演进计划之中的IPv6过渡需求，得到满足。高效易用安全的无线网络无线网络已经成为终端接入的主要方式。无线服务由支持校园建筑中802.11acwave2的高性能接入点覆盖范围。无线控制器由高性能和高规格产品组成，满足数据转发、AP管理、认证、安全控制等多种性能和功能。，满足各种用户对无线服务的需求。全方位的可靠性解决方案从设备级、服务级稳定性等多个方面提供稳定性保障，促成整网解决方法，对企业对于各类服务其可靠性需求，做到最大限度的满足。具有一定可靠度的系统其可用性是搭建具有一定可靠性业务应用程序的前提与基础。全面的安全防护科技园整个基础网络采用满足多区域多业务承载的MPLSVPN架构，出口链路采用IPv4和IPv6双100G，因此整个网络具有高带宽、高可靠性和高安全性。4网络设计与实施4.1网络拓扑设备的选取（1）核心层网络:此次网络构建核心层交换机主选是华为生产的S1720交换机。这是一类具备高速信息传递的网络交换机，S1720交换机可以使得学校其各类使用功能得到满足。此外，S1720交换机还为各类教学设备提供专门的专用接口，接口和外接设备彼此间的信息传输速率都超过了千兆，这就是使得教学信息的传送和下载，更为便捷。S1720交换机在自身信息传输的整个过程之中，不但具备高速的特征，其整体传输过程之中的稳定性也十分高，同时接入多种网络加密及其他安全认证方式，确保学校其教学资料高效、安全、科学、便利的互相交流。（2）汇聚层网络:联系学校其集体状况，在构建汇聚层网络的过程中，要选择使用具备功能性的二级交换机。校园网网络中心室还囊括网络中心、辅助区域的有关布线。在汇聚层网络结构之中的各类接口其传输速度权超过了千兆，借此确保迅速、科学、高效率的完成信息的传输。网络选取的是华为S1700交换机，是由于这类交换机具备良好的性能，网络配置命令会以中文进行呈现，并可给予硬件以保修服务，还有软件进行免费更新。（3）接入层网络:整体设计依照实际学校其教室现况，还有对计算机进行使用的老师规模，展开科学化的设计，据有关统计显示，明确信息点，对华为S1700交换机数目进行规范量。（4）核心路由器:学校和外网则必须经过核心路由器，对流量实行控制，此外还会发挥防火墙的相应的作用。发挥十分关键的作用，这与整个网络其安全性息息相关。根据需求分析，选择采购2台华为AR111-S核心路由器。4.2网络系统设计网络设计以分层式设计为主,拓扑是经由1台汇聚层路由交换机当做此次核心层其设备,依次连接了2台汇聚层交换机当做汇聚层,每1台汇聚层交换机下属连接了4台二层路由交换机当做接入层。主路由器是采用路由器和防火墙设备相匹配的网络设备,连接到外网上。1.出口区是整体网络安全控制和转发区，出口区部署光传输、出口路由器、防火墙等设备，支持ISP的100G接入。并支持多运营商链路接入。2.骨干区域部署PE和MCE设备，承载企业业务的IPV4/IPV6路由控制和转发以及MPLSVPN隧道建立。为了保证骨干区域的稳定性和高速转发，各种设备采用水平虚拟化部署，设备之间采用10G双链路互联。3.接入区和骨干区通过万兆光纤连接，满足有线和无线终端的接入和转发，保证各个系统网络的相互隔离。4.部署各种安全控制服务器，如认证计费、行为审计、网络服务器(DHCP、DNS、网管系统)。5.完成路由器上，和互联网进行连接的命令配置，以及完成NAT，即网络地址转换协议的配置。6.公共区域包括会议中心、大厅、食堂等。按需部署高密度AP，实现无线网络全覆盖。7.企业业务为入园企业提供日常办公和互联网服务，分为企业有线业务和企业无线业务，用户也分为办公网和企业办公网两部分；每个企业的办公网络都是孤立运行的；为用户提供多种网络接入选择；有线业务结合园区综合布线系统，按需建设，为有线用户提供千兆接入、端口隔离，支持IPv4和IPv6双栈或纯IPv6网络对外的访问的需求。8.根据不同的业务需求，建立不同的ssid进行安全隔离，不同的ssid可以弹出不同的欢迎或认证界面。4.3总体网络地址规划4.3.1VLAN及IP地址划分IP地址在整网的分配，要与网络拓扑功能结构相匹配。使用分层地址结构拓扑，减少路由表的规模，提升路由与分组转发速率。根据园区的具体情况，一般划分为若干个VLAN,划分原则一般以管理机构、员工宿舍等这样的方式进行区分。把资源服务器、WEB/FTP服务器、DHCP/DNS服务器，进行独立的划分，对中心机房也进行独立的划分，并作为对其他进行管理的VLAN。4.3.2总体网络架构图2-1总体网络物理架构园区业务主要采用MPLSVPN逻辑架构设计，MPLSVPN的安全性经过路由器分割实现。网络布设减少对ACL控制，减少出错性以及安全漏洞的风险，提高安全系数。所有VPN保卫一个独立的虚拟路由转发表，其中配置简单，满足大型网络的使用。园区的综合网络管理基础主要认为是由三层综合网络的基础构架所结合组成,它们分别认为是三层网络的数据核心层、汇集网络层和移动接入网络层。对应于整个网络系统构架核心层的四个交换机四层设备分别被我们叫做:网络核心架构层交换机、汇聚核心层交换机、接入核心层交换机。核心层交换机其设备大体上都是千兆的以太网交换机。核心层其交换机房一般会放置于某个网络中心的机房,一般由2台三层千兆等级的以太网交换机，以及1台边界路由器一同构成,采取高宽带连接的方式，完成和核心层设备的连接。位于其中的2台核心层交换机也可肩负起汇聚层交换机上行链路其连接设备的责任，并且可通过迅速收敛的路由协议，完成故障切换，以及维持负载的均衡,换而言之，如果其中一个链路突然发生意外,整条链路也可迅速的从备份链路完成连接。各汇聚层交换机位置一般在一层其设备间，一般由上行是2台核心交换机，下行交换机作为接入层其交换机存在。接入层交换机一般位于每一层的管理间中。一般需要上行是汇聚交换机，下行是各个接入层的交换机。光传输设备、出口路由器、出口防火墙、企业业务核心PE、有线汇聚MCE、无线汇聚MCE、无线控制器、认证计费系统、日志统计、行为审计、网络服务器(DHCP、DNS、网管系统等)。)、系统服务器(监控、访问控制等。)都部署在核心机房。光传输设备采用100G平台的DWDM设备,与教育网络节点机房互联,建立两条100G高速外部网络链接,即IPv4和IPv6,以实现对ISP的IPv4/IPv6访问。以及冗余设备板和接口,可提供网络可扩展性,并在将来提供网络专用线路服务。两台出口路由器使用高端路由器作为wlan的核心节点,分别作为IPv4出口和IPv6出口。100G已连接到ISP网络,并支持多运营商链接访问。在下行链路中配置了多个10G接口,可以支持更多稳定企业的直接访问。企业业务核心PE通过10G连接出口防火墙,作为MPLSVPN架构的核心节点,分别通过10G连接企业有线融合MCE和企业无线融合MCE。该设备配置了水平虚拟化和链路聚合功能,以确保网络的高速和高可靠性。各业务接入交换机采用10G上行,满足业务系统、企业有线和无线终端的接入和转发,保证各系统网络的相互隔离。4.4网络技术原理4.4.1路由技术路由协议在OSI参考模型第3层发挥相应对作用,所以其目标就是在2个通信子网彼此间，完成数据包的路由。路由器在网络之中对数据进行传输的过程中，自主选取最佳途径的特点极为显著。我们不但可通过访问控制列表的方法，对主要路由任务直接完成以外，而且路由器也具备直接完成以路由器为中心对交通流控制、过滤等相关功能。在此次项目案例设计过程中，internet其用户不但可经过位于三层交换机上的路由器，对internet进行直接的访问,同时还可经过三层交换机上所具备的路由功能在实现在internet和用户彼此间数据包的交换工作。路由器一般以外部网络的身份，参与到企业其网络、防御之中，因此是企业网络、网路防范前沿的首选障碍物。路由器上所具备ACL，即访问控制列表就是可对intranet安全进行高效保护一种方式。经过细致化设计的访问控制列表不但可以较为高效的对网络其流量、数据库其流向，进行控制,且可实现网络系统通用软件和硬件防火墙产品的功能,而且无需额外增加网络系统的软件和硬件投资。因为路由器定位在公司内部网和外部网络二者之间,所以被看做是外部网络同内部的网络，彼此间完成通信的首道障碍,所以，即便是在网络系统之中早已完成了防火墙产品的安装以后,仍然会有必要继续保持路由器的安全。路由器访问控制表。旨在有效保护企业的内部网络(其中包括防火墙自身)[7]。4.4.2交换技术传统意义上的数据交换是发生于OSI模型的第二层。现代化的交换技术也是实现了第3层次交换与多层次交换。高层次数据交换技术的出现和推广,不仅大大提高了企业园区网络中企业数据交换的质量和效率,而且大大改善了企业园区网络中企业数据交换的服务质量,可以满足各种类型的网络应用。现代化的交换网络也被引入了虚拟局域网(virtualVLAN,VLAN)的基本概念。VLAN把广播域限制成为一个独立的VLAN,从而降低了VLAN之间主机之间广播和通讯对其它VLAN的不良影响。当我们需要与VLAN之间进行一次通信时,就可以考虑使用VLAN间的路由技术。譬如,当网络管理员一定要负责大量的交换机其管理工作时,就可考虑通过VLAN中继协议(v1antrunkprotocolVTP)，对相应的步骤进行简化。它只是一定在某个独立对交换机上就可以对全部VLAN进行定义。接着,VLAN将给出相应的定义，即基于vtp协议从服务器传递出去,和管理域内进行连接的全部交换机。通过这种方式，就极大的减少了网络管理人员其工作负担以及任务强度。为了使得交换网络设计得到进一步简化，企业交换网络其可伸缩性得多少提升,企业交换网络内部其数据交换、部署都可以通过分层进行完成。企业网络之中的数据交换设备一般包括下述3个层次:即核心层、访问层、分布式层。接入层是为了全部的最终用户给予一个接入点。分布层不但主要对接入层其收集交换机，进行负责，并且还可为整体交换网络其VLAN间给予相应的路由、控制功能。核心层将分布式其层交换机互相连接了起来。跨企业网络骨干网高速推动数据交换的完成。在该次项目其实例设计过程中,上述3层也将会不饿看运用于单独的设计和配置[8]。4.4.3DHCPDHCP这是基于动态虚拟主机资源配置管理协议(又称动态虚拟主机资源分配配置协议)的一个英文名称缩写。它通常可以通过划分而成为两个大部分:-一个可能是邮件服务器端,另一个可能是邮件客户端。所有对hip进行网络集中设置的所有数据均由一个DHCP网络服务器进行网络集中管理,并且特别是网络主机管理负责集中接收和执行处理每一个网络客户端DHCP的网络请求。与传统BOOTP模式相比,DHCP模式可以通过直接使用"租赁"这一特殊概念词来动态准确地进行分配并对客户端的TCP/IP进行设置。而且,出于网络兼容性的需要考虑,DHCP的一种虚拟分发文件方式必须先考虑选择至少一个同时能够在虚拟网络上正常进行工作的文件DHCP。监视整个互联网的每个DHCP服务请求,和网络客户端通过协商，对TCP/IP进行使用,并对网络环境进行设置。DHCP为BOOTP的进一步扩展,它以c/s模式基础发展而来的。其对动态地指定IP地址并且对参数其机制，进行了配置。这一般适合在大型互联网环境下及其他无法配置的场所.DHCP服务器对客户端实行自主性的IP分配。部分所特定的配置参数全和IP协议没有一点关系,可以一定毫无关联。其优化的配置参数让互联网上的电脑和计算机之间进行通讯更加便捷和简单。DHCP准许对商租用IP地址进行转发。对一个具备大量计算机其大量大型互联网,有时候无需为每一台电脑都给出一个相应的IP地址。租赁期限一般是1分钟～100年。在租用期限届满后,服务器就会将此IP地址分发到其他电脑。客户还能按照要求选择自己感兴趣的网络地址与相应的配置参数[12]。4.4.4VPN由其名称就可知道,虚拟专用网络可被看做是某个企业内部的虚拟专用线。它可在特定的加密通信协议，在一个处于internet上不同物理位置的2个或者多个企业内部互联网彼此间构建专门对通信线路,就好似构建了一个专属的路线,可是它并没有必要实际地铺设诸如光纤之类的任何物理线路。电缆。这就好像我们去电信局申请了专用的线路一样,但却无需再为铺设专用线路而付费,也不需要另外付费购买路由器等其余软硬件设施。起初VPN技术被认定为路由器所具备的一项换件技术。现阶段防火墙装置、,交换机、windows2000等软件可还对VPN运行，提供支持。虚拟专用网－VPN就是基于公用网络(一般是internet)所搭建的临时网络。为了安全、稳步的通过混乱公共网络，可安全、可靠的同隧道进行连接。虚拟专属的网络公司即intranet公司对于网络的扩展。VPN更为有助于远程用户,公司分支结构机构,业务伙伴、供货方，同公司内部网络构建可信度高、安全性高的联系,并且为数据其安全、传输，提供保证。专门在VPN站点彼此间，实行安全通讯虚拟专用无线网络,用于经济高效地将业务合作伙伴、用户虚拟专用extranet虚拟专用网络[9]。4.5企业有线业务设计4.5.4网络结构规划企业业务还采用MPLSVPN架构，使得各个企业业务安全隔离，满足企业内部有线业务和无线业务根据需要相互备份和互访的需求。根据用户，企业的业务主要包括入驻企业的业务和临时访客的业务。自用有线业务使用认证网关对员工进行统一认证管理，并配合行为审计系统，日志管理系统等，对自用用户进行认证及审计。租户有线业务可为租户提供多种服务，为租户组建网络及提供网络接入服务，各租户之间安全隔离；对租户进行链路出租，建立租户到租户需求位置的光纤；提供网络服务，对租户提供公网地址接入Internet等服务。4.6企业无线业务设计无线网络一般采用无线控制器FITAP和扁平化网络结构设计的构建思路，包括基础网络层、无线接入层和无线控制层三个部分。基础网络由两台无线汇聚交换机以及单个POE接入交换机构成；无线接入层基于室内无线AP构成；无线控制基于无线控制器、无线网络管理系统组成，提供对无线AP和无线用户的管理和控制。核心侧使用两个箱式交换机作为核心设备，配合无线控制器实现对AP的集中管理。通过虚拟化技术可以将箱式交换机虚拟成一个设备，多个无线控制器板可以在一起管理AP的同时实现相互冗余和备份。网络搭建采用无线控制器AC无线AP的布设方法对接入用户实行一致认证，无线认证将采用PoE模式。用户登录无线网络后，只需输入用户名和密码。网络架构时将一些新的智能功能集成进FITAP和无线控制器中，以便于给用户呈现统一的网络管理接口：无线网整体采用10Gbps的链路带宽，单体接入楼宇遵循光缆工程建设规划，综合考虑无线AP数量、楼宇用途及预计无线用户规模，提供楼层PoE接入交换机千兆接入，通过10Gbps光纤链路连接到无线汇聚交换机。本次无线覆盖项目要求涉及到办公区、会议室、公共区等多处地点，要根据不同的场景选用不同的AP，并考虑布放的密度。无线控制器＋FITAP控制架构对设备的功能进行了重新划分，其中无线控制器负责无线网络的接入控制，转发和统计、AP的配置监控、漫游管理、AP的网管代理、安全控制；FITAP负责802.11报文的加解密、802.11的PHY功能、接受无线控制器的管理、RF空口的统计等简单功能。4.6.1协议标准园区无线网络需要支持并采用标准的802.11系列标准，主要提供5G频段802.11ac/n/a和2.4G频段802.11b/g/n组网支持，为用户提供高速稳定的无线网络服务。PIS系统以IEEE802.11系列国际标准为基础的WLAN，即无线局域网。4.6.2无线覆盖园区的内部搭建复杂。各个楼层形式有各自的风格，而且无线覆盖有不一样的部署方法。这个设计方案在全面覆盖以及确保用户体验的基础上，实现用户对网络应用同时为用户上网提供了便捷。4.6.3覆盖范围这种无线覆盖是公园的全覆盖，涉及办公区、会议室和公共区域的室内覆盖。无线网络室内无线覆盖可以简单的分为两种，一种是在独立办公区，可以归为走廊直复型，一种是在整体办公区和会议室，可以归为室内直复型。走廊的直放覆盖了用在房间内或室内活动的区域,当穿过墙壁和地板时,无线信号将会被衰减。但是走廊结构的室内区域有着通过障碍物的作用,相反是穿过围墙后的信号更优质。图3-1走廊直放无线覆盖4.6.4无线SSID规划校园无线网络采用多SSID模式，用于区分服务和应用不同的网络策略。在建设期内，无线网络临时提供无线SSID，以后可以根据需求进行扩展。用于用户无线网络接入的SSID，统一名称:OUYA。外界用户临时访问的SSID，使用名称OUYA-GUEST。4.6.5AP部署使用接入点进行覆盖时，应考虑并遵循以下问题和原则:（1）需要电缆资源(五种或六种以上的电缆)；（2）单一走廊安装一个AP设备，把设备放在走廊中间；（3）设备和电脑放置在合适的地方，就可以规避墙壁和天花板阻挡信号的路径。（4）让设备信号垂直穿刺墙壁；（5）各个建材传播不同效果。金属框架或门做成的建筑，设备放在信号经过敞开门的位置，不得放置在信号必须通过金属材料的位置；4.6.6无线安全线网络涉及大量的接入点和用户。为了保证无线网络的安全性和可靠性，需要非常严格的用户认证系统和非常全面的安全保护功能。一般来说，计算机网络存在很多安全隐患，如ARP欺骗攻击、DHCP攻击、DDOS攻击等。为了应对这些网络风险，需要采取诸如用户隔离和DHCP保护之类的安全措施。具体如以下几点：地址扫描攻击防护能力地址扫描式攻击指的是一种通过向目标网络发出一些已经更改或被修复过的目标地址被更改的消息。例如,当一个攻击者用手机扫描一个网络设备的一条直接接入网段,则该个网络设备将向这条接入网段下面的各位地址传递arp消息。如果这个地址没有被保留,则系统就需要向目标主机发出一个不能到达的消息。如果一个直连的网段比较大且受到攻击的流量足够多,则可能会使我们消耗更多的网络设备cpu和内部的资源,这样就有可能导致整个网络中断。DoS/DDoS攻击防护能力网络中如果同时存在大量的视频广播或者甚至是其他组播视频信息,它们将可能会严重占用宝贵的数据网络传输带宽,并将严重程度降低现有网络传输设备的系统数据信息转发和传输性能。此外,当一个通信网络中某个通信装置与其他网络设备之间连接发生相互间的干扰时是环路。广播和多播消息将淹没整个网络,从而使整个网络瘫痪。广播/组播报文速率限制网络之中有着大量的广播，或者组播消息，这部分将对珍贵的网络带宽，进行占用，并且使得网络设备其转发性能，受到了极为严重影响。同时，如果网络之中其中一个设备出现环路时，广播和多播消息将淹没整个网络，从而使整个网络瘫痪。MAC地址表容量攻击防范功能通过无线控制器我们不仅可以知道VLAN可以允许学习的最大媒体访问控制地址数量，这些数量是可以通过VLAN下的主机数量或者挂在端口数量得知，同时支持用户设置单个端口，这样避免出现VLAN耗尽系统或者单个端口的媒体访问控制地址条目的情况。当然，为了保证其他设备不受VLAN上未知单播消息的广播的影响，我们在设置最大学习端口号MAC地址时可以选择性转发多余的，从而增强MAC地址表容量的攻击防范功能。4.6.7无线AP安全功能AP防盗设计传统的胖AP等互联网管理模式在整个ap上可能需要用户配置大量的网络服务配置参数,并且这些网络服务的所有配置参数信息都可能需要在整个ap上进行存储。一旦网络设备信息丢失,ap的网络服务器和配置系统信息就非常有利于可能会及时发生安全泄漏,从而在企业网络安全上可能形成重大漏洞。AP身份认证当无线电路控制器+fit-ap需要连接到无线网络时,需要预先配置设定无线电路控制器上需要部署的路边电和ap的无线序列化信号。当一个ap终端开始与无线信号控制器系统建立数据关联时,无线信号控制器系统会自动检查到从ap开始报告的器件序列和型号相关信息。只有这些经过预授权的格式ap文件才能直接进入无线网络控制器,以便于防止非法的fit-ap非法访问无线网络。非法AP检测wlan网络可以利用无线产品的功能自动监控非法设备(如adhoc无线终端或者rougeap)，一旦发现有非法越界行为就及时报告给网络管理中心。同时,它还可以自动地防御任何来自非法设备的攻击,并最大限度地维护无线网络。黑白名单功能无线通信产品线的功能甚多，包括黑白名单的配置功能，只有启用这个消息功能，中国无线网络非法用户可以在非法白名单上自动视为合法的网络用户,其他非法网络用户的所有非法消息记录都会被自动丢弃并放到白名ap上,从而大大减少了这些非法用户消息对于中国无线网络的直接影响。4.6.8无线漫游这次无线覆盖面积大。为了保证用户上网的体验，无线漫游在移动过程中仍然可以连续使用无线网络。当一个无线网络覆盖环境中同时存在有多个ap并且它们的微小网络区域在一定很大程度上相互存在重叠时,无线联络用户就已经可以在整个wlan网络覆盖范围内自由移动,并且这些无线联络网卡用户能够自动快速寻找转移到附近的网络信号强度最高的一ap,然后进行发送和发送。通过这个ap可以接收发送到的网络数据,以连续保持不间断的无线网络连接,称为无线网络漫游。4.6.9网络管理有效的网络管理可以提高管理员工作效率。进行有线和无线集中管理可以有效管理有线poe等有线设备及无线网络系统中的移动终端，ap,ac等无线设备集成管理系统，通过这个管理系统可以清楚掌握各个设备的运营状态和信息。可以通过各类视图方式查看无线访问的网络数据库资源,并在各类视图内对其进行了分组管理,从而有效地帮助用户组织大型的无线访问装置,并且便于管理员对其进行维护。4.7光传输设备为了满足科技园与ISP主节点的互联，需要在两端布置光缆，增加光传输设备。为了满足可靠性，互连链路采用1主1备的方式，需要布置4芯以上的光缆。互连链路采用两个光传输设备，通过波分复用技术为业务系统和应用互连提供通信链路。两端光缆距离约20公里,所以每端应放置一个光传输装置。在光传输系统中,主链路2芯光纤和备用链路2芯光纤用于实现传输设备2与光纤的互连,并为光线路提供冗余保护。光传输系统应为本地设备连接提供至少两个传输速率为10Gbps的以太网服务接口。4.8带宽管理方案考虑到流量控制的特点，流量只能通过流量控制设备进行管理，因此流量控制以串行流的形式部署。4.8.1最全面的应用识别能力多年来流量交互式检测技术不断发展，同时不断积累状态机的检测经验，现在的应用识别能力不断提高，能够检测出百度网盘、web迅雷、115网盘、腾讯微博、115网盘、新浪、阿里、P2P/IM/和微信等，识别能力越来越趋于全面。4.8.2精细化的流量管理功能支持四层以上下行信道网络带宽管理嵌入配套,满足各种企业大规模新型网络集成管理的综合应用扩展需求,基于网络地址、用户、服务、应用、时间的新型五层单元组网络集成管理策略,支持上下行信道带宽和多优先级带宽控制,流量数据管理过程无任何死角。4.8.3智能阻断技术智能阻塞技术放弃了"允许将所有流量转发到接口,在接口上对流量进行优先级排序以及在接口上缓冲和丢失数据包"的做法,并且采用了更为先进和优化的垃圾阻塞处理方法:当流控制模块将设备上的用户设置为垃圾流时,设备上所有的垃圾应用程序的数据连接将被立即自动删除,因此一开始就不会出现问题产生垃圾流量。同时,该设备还可以有效避免由于接口队列调度引擎造成的数据丢包,节省了大量的资源,并且帮助客户有效地节省了带宽和设备的资源。4.8.4丰富的报表不管是流量分布图还是流量趋势图，都可以实时监控并报告。它可以根据用户名/协议的生命周期对前n个用户名列表和应用协议进行应用分类，同时还可以流量支持应用协议进行多维组合尺寸，安全事件等。自定义报告,使得用户能够充分了解和掌握网络中的流量,应用程序和服务的分布,并为合理制定网络规划和流量控制策略提供了依据。4.8.5及时的特征库更新签名数据库团队密切追踪应用程序的更改并及时发布应用程序协议签名数据库;支持协议签名数据库的网上自动/手工升级及本地化升级。升级的过程中不需要再次启动系统,也不影响整个系统的业务运作。4.9终端接入认证及行为审计设计4.9.1终端接入认证方案这种终端接入认证方案可以满足有线终端、无线终端、哑终端等。使用不同的身份验证类型进行访问。满足IPV4/IPV6协议栈环境。根据网络接入要求，终端分为有线和无线两类，员工、访客和租户按照接入用户进行划分。员工有线终端建议采用802.1X认证，这是一种二层接入认证。终端在认证成功前不分配IP地址，只有在认证成功后才会获取IP地址。没有攻击风险，提高了网络安全性。考虑到移动台的需求，认证平台可以根据用户群实现策略伴随的功能。访客访客访问办公网络的权限划分、访问时长和在线行为审核一直是公司网络运维的难点。对于这个难点，采用二维码扫描认证，基于Portal认证主要用于办公网络访客访问。租户考虑到租户数量庞大,接入认证可以分为自含式认证和非认证。有自己认证的租户统一采用特殊认证,只需要为这类租户提供外部网络接入。未经认证的租户建立无线网络。为了遵守《网络安全法》,他们需要实名认证才能接入网络,可以使用短信认证。认证平台配合短信猫或短信平台进行安全终端接入。5智能系统管理设计5.1智能管理设计5.1.1有线智能管理设计互联网时代的到来，使它成为了人们生活中不可或缺的一部分。随着互联网的不断发展，互联网用户不只是追求互联网速度快，高宽带，更注重网络安全。这就要求网络管理更加精细化、网络运营更加高效快捷。并且更受欢迎。一套良好的运营管理软件无疑对于我国网络业的精细化运营管理工作起着至关重要的指导作用。5.1.2首页个性化定制及大屏显示所有的服务都可以支持在一个主页上自动发布一个窗口小的部件(web窗口小部件,中文译码称为窗口小部件,是一个小的web子页面,可以在任何基于html的网页上同时执行)。每个小零件都有自己的功能,如诸如折叠,还原,最大化,拖动,关闭,打开一个新窗口以及异步刷新等。支持用户可以在自己的权限下,在个性化的主页中进行自定义。图4-1智能网络通过各种高分辨率的大高清屏幕图像支持对整个网络系统运行情况进行自动监控,实时自动掌握整个网络系统运行情况状态,显示的网络内容信息可以根据网络管理员的实际需求自动调整进行优化定制。图4-2大屏幕监控5.1.3全面的基础资源管理网络管理设备多元化：不仅是早期的交换机和路由器，还有服务器、语音、监视、安全、存储、打印机、ups、无线等设备，这方便对网络中的设备资源进行集中化管理。支持功能多样化：网络设备资源搜索，设置设备的访问密码并且可以批次配置其访问参数验证，用户还能导入信息和附加信息，同时支持修改、删除、批次导入或取消等功能，操作员输入时间也会保存。设备控制面板直观化:设备面板上可以实时显示设备的运营状态和资产构成，这些都可以通过管理设备面板实现。图3-4设备面板网络设备资产管理具体化:自己管理网络资产时，可以添加imc平台上的管理网络设备，系统会自动发现设备上的附件信息并且将其添加在自己的网络资产中，这样更加方便自己进行集中管理。经过更改网络资源讯息，管理员能查阅子资源模块信息、接口的信息和审计变更史的信息。图3-5模块信息5.1.4易用的性能管理明确了各类网络设备topn的关键的性能指标:cpu网络、内存网络、带宽网络等的利用率以及设备网络响应率与性能、设备不可达等。是广大用户对企业网络系统性能控制管理工作过程中最为密切关心的一个技术项目。IMCON平台系统可以直接让所有用户通过IMTOPN这个列表一目了然地清晰看到当前移动互联网的主要性能以及瓶颈。图3-6设备性能性能视图:使用者能自由地自定义效能资料查阅检视，剖析全部网路的运作走向。绩效监测视图系统可以进行多个指标、多个实际例子的数据相组合与显示，也可进行多功能的监测数据显示，如topn明细表、topn柱形图、折线曲线图、直方图、面积曲线图以及数据汇总等。将性能与报警更深层次的相互联合：imc平台能进行为每个性能指标单独设定的二级阈值，并将各个级别的报警发送给用户。通过报警信息，使用者能直接把握网络装备的监测指标及其性能，帮助使用者动态把握网络运运转状况，推测流量成长进步的走向，科学完善网络。拓扑性能指标的丰富动态显示：imc平台可以进行拓扑结构中装备与链路性能监测数据的动态显示，使用者可在任何时候根据自己的需要制定不一样的显示性能指标。5.1.4强大的配置管理软件库能为设备保护各种软件文件。除对所有版本的设备软件进行管理外，还可进行对装备上的所有类型服务的软件管控(现阶段主要囊括了onu软件、onu算法等装备的软件资源)，达成装备软件文件的一起管控。使用者能从所配备的模板以及装备中的软件文件导出本地系统，并为本地配置以及软件文件资源建立备份存档；反之，也能从本地文件上传到imc平台。5.1.5实用的IP/MAC管理IP地址的分配:IP地址被认为是网络中的一种资源,是统一进行分配和管理的。管理员可以通过自动扫描快速地找到用户在网络中正在使用的IP地址,从而便捷地对其进行分配。除了自动扫描,管理员也能结合使用者的状况手动设定必须配制的ip地址。利用ip地址的分段性能,管理员还可以根据自己的部门和办公区域把多个ip地址划分成一个单独的ip地址，使ip地址的管控更加方便。IP地址配制之后，管理员能利用细致全面的IP地址配制统计表以及所有的咨询要求，直接明了地认识并精准把握全部网络IP地址资源的运用状况。图3-7IP地址分配ip/mac绑定:ip/mac的绑定方法能将ip地址直接绑定成mac的地址,包含预防使用者咨询更改ip地址,实现对ip地址的统一管理,避免了安全隐患的优点。imc平台通过ip/mac绑定的功能来管理运营商与用户配置的ip/mac之间的绑定关系。用户在通过imc平台使用错误的配置IP/mac方式访问网络后,IMC平台将会向管理员发出告警信息并及时发布给管理员,以便于管理员及时发现其安全隐患。IP/mac绑定的功能不向设备发送数据,而是维护IP/mac的网络管理中与设备支持的绑定关系不同。网络管理员可以按自动扫描绑定方式来发现当前在网络中所使用的IP地址与mac地址之间的关联,或者通过添加一种新的方法来重新创建ip/mac之间的绑定关系。ip/mac的绑定讯息大体上囊括了ip地址、mac的地址、机器名、设备类型等等信息。图3-8接口绑定ip的访问位置:ip的访问位置是用来检验网络中客户端与装备两者间的访问联系，也就是指，依照客户端的IP地址或者mac地址，查阅客户端访问该网络所使用的装备的接口。使用ip访问定位功能可以有效帮助网络管理员迅速定位和清除网络中有安全隐患的客户端,将其进行隔离,确保网络正常工作运行。5.2无线智能管理设计互联网己经深深地融入了人类日常生活中的各个方方面面。网络主要用于制造、办公、运输、医疗保健、休闲和娱乐。随着internet的快速发展,网络服务层出不穷,越来越多的年轻人开始需要使用能够直接访问网络的设备。因此,笔记本电脑的用户日益增多,智能手机和平板电脑日益受到消费者的欢迎,越来越多便携式网络接入设备的应用开始进入人们的生活视野。无线网络由于其结构简单、接入方便而逐渐被现代人们使用。在这样的情况下,传统的有线网络连接已经无法满足新的生活方式所带来的挑战。5.2.1全屏监控界面全屏监测能够更加直观地显示当前的终端编号、ap型别、数据流、终端厂家、终端地址等分布情况。帮助管理员迅速监测整个网络,对整个无线网络都有一个概念的了解。wsm使用者能在一个拓扑图中直接查阅所有移动终端的有关讯息,囊括mac地址、信号强弱、在线时长、流量、传输速度集、协商速度、rssi、ssid、应用的通讯信道、ac设备、ap设备等,能直接查阅所有移动终端的全部漫游历史痕迹,方便管理员实时把握以及明白最后连接到所有使用者的状况,再对这当中的连接轨迹组审核。wsm的绿色节能性质支持了无线设备的节能战略。策略的种类主要包括接入点启动、无线电启停、无线电功率调节和小型基站启动等,以节省能源、降低辐射和改善环境。图3-10全屏监控界面5.2.2丰富的无线统计报表为了有效地评估和测量整个网络的安全状况和总体状况，网络运行以及管控必须对所有网络的运行情况做全方位的监测，并对网络的各种性能以及报警指标等做智能汇总以及研究。Wsm给予了非常多的无线统计报告咨询以及定制功能，可以辅助管理者全面管控这一网络。大型的无线网络报表系统可以利用配置分级报表系统来达成运营商的报告诉求。图3-11无线业务报表列表5.3日志管理方案根据《网络安全法》，所有日志应至少保存六个月。在这种设计中，所有日志都应该存储在日志主机上，流量日志和系统操作日志应该分开存储。对于审计和流量控制设备，部署存储空间不小于8Tb的日志存储服务器，为网络设备的系统和操作日志部署日志存储服务器，存储空间不小于4Tb。5.3.1流日志管理流量控制和审计管理系统可以统一集中管理网络所有关键部分的流量控制设备和审计设备，并对网点流量进行24小时监控、根据业务流量分析、用户行为审计管理等。通过对流量的控制和审计管理系统,可以有效地为P2P网络带宽的滥用、网络游戏、股票交易、在线视频、网站访问等各种网络活动提供统计的细节以及分析报告,基于统计报表管理器，能够综合认识网络流量以及使用状况，经过统一流量和业务管控战略，不断改善带宽，达成网络、业务以及使用者流量的直观性和可控性。5.3.2实时的应用流量监控流量和审计管理技术通过全天时的监控网络流量,通过整个网络、地域、服务类型、用户/客户组等全天候的对网络使用的流量走向、流量组结构、top使用者流量以及业务范畴进行分析。理解现阶段网络使用中不正常流量的有关细节，能让管理员迅速把握网络流量的最新状况，对突然发生的网络不正常流量进行监测，并迅速做调研，保障全部网络的安全。图3-12应用流量实时监控图5.3.3完善的流量分析与统计报表流程和审计管理软件提供准确的应用流程分析和统计报告。通过长期的分析和总结网络应用流量的趋势分析和研究,保证了网络流量服务的可视化,辅助管理员从一个宏观层面上了解网络应用流量的发展趋势和分布特征,为其制定合理的网络、服务、用户带宽的分配及流量控制策略,和未来网络规划提供数据支持。5.3.4丰富的用户上网行为审计流量和审计管理软件可以给予web应用、ftp数据传输、邮件互传等线上软件，对网络用户的行为进行全方位监管与登记；经过网络流量全面解读，检验并追踪使用者的网络流量以及具体变动和走向，探讨网络流量过去的记录数据，为使用者供给精细的网络软件审计管控系统，准确地跟踪和定位用户的网络行为。5.3.5基于用户名的流量分析与审计流量和审计管理软件可以进行和国际标准的radius服务器自动交互，并给予以使用者本人身份为前提的通信解读、通信汇总以及审计管控，较有成效的克服动态ip分配中定位困难的因特网使用者问题。5.3.6便捷的资源与设备管理ZUD设备通过对流量以及网络审计管理软件的方式进行管理,这样就可以很好地实现对网络资源的集中和管理,监控整个网络运行的状态,并且发现以及有效地消除网络中异常突发的流量;并且用户可以迅速地进入设备的web管理界面,不粗需要记录和输入繁琐的登录名和密码,可实现单点登录。5.3.7集中的图形化管理平台流量和审计管理软件基于b/s的架构设计,内置了数据库,用户不必安装任何其他的组件和插件,中国文化的图形界面适合各种操作系统和服务器。用户可以通过一套网络分布式流量和审计管理软件来管理互联网上的多个ACG设备,也就是用户可以通过分布式部署流量和审计管理软件来实现对大量的ACG设备进行集中管理,只需要使用浏览器就可远程访问管理服务器。5.3.8系统、操作日志管理网络中部署了IMC系统平台，可以通过SNMP协议收集网络中所有网络设备的系统日志和操作日志。智能报警关联:对反复报警、突发大批报警提供过滤。客户定制过方法，压缩海量网络告示，让管理者清楚地发现网络故障。告警最直接的原因分析:根据拓扑的区域性告警最直接的原因分析、告警相关联的分析以及告警相关分组的原因分析,可以通过屏蔽因外观故障而导致的大量外观告警,让广大用户快速的定位以及准确查找故障的根源,发现故障有影响的区域。完善的报警转发体系：给出声光报警警示、电邮、短信等；对于不一样类型的报警，还可以制定不一样的警示内容以及与之对应的保障借鉴方案。如有相似的报警，可直接给出与之对应的保障借鉴方案。5结论在通信网络和应用技术的大力发展下，更多的园区开始使用网络技术提高园区的工作效率和管理的业务水平。科技园区需要不同类型的业务，网络也需要统一化部署，因此园区网络要划分多个不同的业务组，例如园区业务、企业业务和无线业务等。使用者也分为自用、进驻企业及外来访客等。使用者对网络有不一样的运用需求，他们拥有不一样的访问权利，在可靠性、业务级别等方面给予的服务也大相径庭。此外，视频会议、视频监管等连接到终端对网络的可靠性、时限延长、安全性等方面也有特殊规定。本设计实现科技园区的网络需求和总体规划，提供安全、隔离的多业务支撑，共涉及多个单体接入楼宇;承载包含园区业务、企业业务等部分内容。网络高带宽、高安全、高可靠，可满足不同单位和业务的具体使用需求。使用私有以及公共协议相结合的方式实现路由协议，方便保障和查询。对于路由交换，对每个vlan都进行分类，能够达成统一的管控，每个单元的网络不会受到影响，冗余可在三层交换机上达成,提升了网络的性能。参考文献[1]高榕.中小型企业园区网络设计与实现J.软件导刊，2010(8):123-125。[2]天极网-E企业频道,电子商务带来的机遇和挑战[EB/OL].(2012-03-07)[3]单一SSID无线网络用户接入安全技术[J].王丽,夏明山,魏占辰,齐法制,陈刚.计算机科学.2019(S2)[4]ARP协议攻击及其解决方案[J].黄华东.广西轻工业.2009(04)[5]一种Web认证防ARP欺骗的方法[J].郑伟忠.电脑知识与技术.2018(13)[6]大型企业内网计算机终端安全管理探究[J].罗华屏.产业与科技论坛.2020(02)[7]多伊尔.TCP/IP路由技术第一卷[M].葛建立.北京:人民邮电出版社2007.23~441.[8]多伊尔.TCP/IP路由技术第二卷[M].葛建立.北京:人民邮电出版社2007.13~151.[9]杰克.思科CCNP公版教材BCMSN[M].魏巍等译.北京:电子工业出版社,2004.53北京:人民邮电出版社，2008.16^433.752.[10]实例详析无线AP工作模式[J].郭建伟.

网络安全和信息化.

2020(07)[11]无线AP在机场WLAN中的部署规划中的探讨[J].张健.

信息通信.

2019(01)[12]Richardfroom..组建Cisco多层交换网络BCMSN[M].刘大伟，张芳译.北京:人民邮电出版社，2008.[13]无线网络安全问题初探[J].任伟.

信息网络安全.

2012(01)附录交换机SW2:<Huawei>discu#SysnameHuawei#Vlanbatch99to100#clusterenablentdpenablendpenable#dropillegal-macalarm#diffservdomaindefault#drop-profiledefault#aaaauthentication-schemedefaultauthorization-schemedefaultaccounting-schemedefaultdomaindefaultdomaindefault_adminlocal-useradminpasswordsimpleadminlocal-useradminservice-typehttp#interfaceVlanif1#interfaceMEth0/0/1#interfaceEthernet0/0/1portlink-typetrunkporttrunkpvidvlan99porttrunkallow-passvlan2to4094#interfaceEthernet0/0/2portlink-typetrunkporttrunkpvidvlan99porttrunkallow-passvlan2to4094#interfaceEthernet0/0/3portlink-typetrunkporttrunkpvidvlan99porttrunkallow-passvlan2to4094#interfaceEthernet0/0/4portlink-typetrunkporttrunkpvidvlan99porttrunkallow-passvlan2to4094交换机SW1：<core1>discu#sysnamecore1#vlanbatch97to100#clusterenablentdpenablendpenable#dropillegal-macalarm#dhcpenable#diffservdomaindefault#drop-profiledefault#ippoolvlan99gateway-list54networkmaskoption138ip-address54#ippoolvlan100gateway-list54networkmaskdns-list#aaaauthentication-schemedefaultauthorization-schemedefaultaccounting-schemedefaultdomaindefaultdomaindefault_adminlocal-useradminpasswordsimpleadminlocal-useradminservice-typehttp#interfaceVlanif1#interfaceVlanif97ipaddress54#interfaceVlanif98ipaddress#interfaceVlanif99ipaddress53dhcpselectglobal#interfaceVlanif100ipaddress54dhcpselectglobal#interfaceMEth0/0/1#interfaceGigabitEthernet0/0/1portlink-typeaccessportdefaultvlan98#interfaceGigabitEthernet0/0/2portlink-typetrunkporttrunkallow-passvlan2to4094#interfaceGigabitEthernet0/0/3portlink-typetrunkporttrunkallow-passvlan2to4094#interfaceGigabitEthernet0/0/4portlink-typeaccessportdefaultvlan97ospf1areanetwork55#user-interfacecon0user-interfacevty04#port-grouptrunk#returnAP配置：setmemory-usagethreshold0#ipv6#arplearningstrict#lldpenable#dnsresolve#interfaceVlanif1ipv6enableipv6addressautolink-localipv6addressautogloballocal-identifierdefault#interfaceGigabitEthernet0/0/0porthybridtaggedvlan2to4094lldpdot3-tlvpower802.3at#interfaceGigabitEthernet0/0/1porthybridtaggedvlan2to4094lldpdot3-tlvpower802.3at#interfaceGigabitEthernet0/0/2porthybridtaggedvlan2to4094lldpdot3-tlvpower802.3at#interfaceGigabitEthernet0/0/3porthybridtaggedvlan2to4094lldpdot3-tlvpower802.3at#interfaceGigabitEthernet0/0/4porthybridtaggedvlan2to4094lldpdot3-tlvpower802.3at#interfaceNULL0#sftpserverenablestelnetserverenablesshserversecure-algorithmscipheraes256_ctraes128_ctrsshserversecure-algorithmshmacsha2_256sshserverkey-exchangedh_group14_sha1sshclientsecure-algorithmscipheraes256_ctraes128_ctrsshclientsecure-algorithmshmacsha2_256sshclientkey-exchangedh_group14_sha1#user-interfacecon0user-interfacevty04user-interfacevty1620#AC配置：[AC6005]discu#undohttpsecure-serverenable#setmemory-usagethreshold0#sslrenegotiation-rate1#vlanbatch99#authentication-profilenamedefault_authen_profileauthentication-profilenamedot1x_authen_profileauthentication-profilenamemac_authen_profileauthentication-profilenameportal_authen_profileauthentication-profilenamemacportal_authen_profile#diffservdomaindefault#radius-servertemplatedefault#pkirealmdefaultrsalocal-key-pairdefaultenrollmentself-signed#ikeproposaldefaultencryption-algorithmaes-256dhgroup14authentication-algorithmsha2-256authentication-methodpre-shareintegrity-algorithmhmac-sha2-256prfhmac-sha2-256#free-rule-templatenamedefault_free_rule#portal-access-profilenameportal_access_profile#aaaauthentication-scheme