中国电信WLAN热点接入设备测试方案集中控制器AC

中国电信集中控制器AC设备测试方案厂家：型号：硬件版本：软件版本：中国电信集团公司2010年3月目 录目 录II前 言IV1.范围52.规范性引用文件53.缩略语64.测试条件64.1.测试设备64.2.测试软件74.3.测试组网84.4.测试说明95.物理接口测试95.1.AC接口测试95.1.1.LAN接口测试96.基本功能测试106.1.AC基本功能测试106.1.1.AP同时支持集中和本地转发能力测试106.1.2.与NTP服务器时钟同步功能测试116.1.3.防ARP欺骗功能测试126.1.4.基于SSID的用户限速测试136.2.二层功能测试156.2.1.VLAN Trunk功能测试156.2.2.基于AP的VLAN支持能力测试166.2.3.QinQ功能测试176.2.4.端口镜像功能测试186.2.5.端口聚合功能测试196.2.6.MSTP防环路功能测试206.2.7.IGMP Snooping功能测试226.3.三层功能测试236.3.1.DHCPv4/DHCPv6（DHCPv6方式）Server236.3.2.AP跨IPv6网络发现AC并立建隧道246.3.3.DHCPv4 Server分配地址能力257.AC安全功能测试277.1.基本安全能力测试277.1.1.静态黑名单测试277.1.2.访问控制（ACL）功能测试277.2.用户侧二层隔离测试297.2.1.单AC多AP下二层隔离（单播/广播）297.2.2.单AC多AP下二层隔离（组播）297.3.攻击防范测试307.3.1.防无线泛洪攻击（Flooding Attack）307.3.2.防仿冒攻击(Spoof Attack)318.性能测试328.1.转发性能测试328.1.1.单端口下行吞吐量测试328.1.2.单端口下行丢包率测试338.1.3.单端口上行吞吐量测试348.1.4.单端口上行丢包率测试358.1.5.单板（10GE口）下行吞吐量测试378.1.6.单板（10GE口）下行丢包率测试388.1.7.单板（10GE口）上行吞吐量测试398.1.8.单板（10GE口）上行丢包率测试408.2.其它性能测试418.2.1.基于SSID的用户限速测试418.2.2.MAC地址学习速度测试428.2.3.MAC地址容量测试438.2.4.VLAN数量测试449.可靠性测试459.1.1.主控板热插拔功能测试459.1.2.接口板热插拔功能测试4610.供电测试4710.1.1.交流供电测试4710.1.2.直流供电测试4810.1.3.交流双电源冗余供电测试4910.1.4.直流双电源冗余供电测试5011.节能功能测试5211.1.1.定期关断指定AP射频口功能5211.1.2.AC定期关断指定SSID功能52前 言本规范遵循IEEE WLAN相关标准以及我国WLAN相关行业标准要求，根据中国电信在热点地区开展WLAN业务的实际需要而制定。本规范用于配合中国电信WLAN热点接入设备技术要求V3.0测试。本规范由中国电信集团公司技术部组织制定，上海研究院起草。 531. 范围本规范规定了集中控制型AC+AP架构中的AC设备的测试条件、测试要求和测试内容等，提出了集中控制器AC设备的功能、安全、性能、管理和维护等的测试要求。本规范适用于中国电信部署在公共热点地区集中控制型AC+AP架构中的AC设备的测试，集中控制器AC设备可配合室内放装型轻量级AP、室内分布型轻量级AP、室外型轻量级AP等部署。用于政企客户网络的集中控制器AC设备也可以参照本规范进行测试。2. 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注有日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。YD/T 965-1998电信终端设备的安全要求和试验方法YD/T 1312.2-2004无线通信设备电磁兼容性要求和测量方法第二部分：宽带无线电设备ITU-T Y.1291分组网络支持QoS的结构框架IEEE 802.1Q虚拟桥接局域网IEEE 802.1ad提供商网桥IEEE 802.3CSMA/CD接入方式和物理层规范IEEE 802.11信息技术系统间远程通信和信息交换局域网和城域网特定要求第11部分：无线局域网媒质接入控制层（MAC）和物理层IEEE 802.11a5GHz频段高速物理层IEEE 802.11b2.4GHz频段高速物理层扩展IEEE 802.11g2.4GHz频段更高速物理层扩展IEEE 802.11n基于MIMO的高吞吐量改进RFC1157简单网络管理协议（SNMP）RFC2011对使用SNMPv2互联网协议的管理信息库SNMPv2RFC2131动态主机配置协议（DHCP）RFC2236互联网组管理协议（IGMP）V2RFC3046DHCP中继代理信息选项RFC3315用于IPv6的动态主机配置协议（DHCPv6）RFC3376组播管理协议（IGMP）V3RFC3509组播侦听者发现（MLD）V1RFC3810组播侦听者发现（MLD）V23. 缩略语ACAP ControllerAP控制器（或称“集中控制器”）APAccess Point无线接入点DHCPDynamic Host Configuration Protocol动态主机配置协议DNSDomain Name Server域名服务器IPInternet Protocol互联网协议MACMedia Access Control媒体访问控制NTPNetwork Time Protocol网络时间协议QoSQuality of Service服务质量SNMPSimple Network Management Protocol简单网络管理协议TOSType of Service服务类型WLANWireless LAN无线局域网4. 测试条件4.1. 测试设备仪器名称数量设备落实用途VeriWave（安装有WaveDynamix软件）1台无线用户终端仿真TestCenter/TestCenter1台用于测试设备性能交换机 （必须同时支持100M电口，1000M电口，1000M光口，10GE光口）23台能够支持二层交换、三层交换、DHCP Server、远程供电、QinQ等功能台式机多台安装各种服务程序，同时作为测试设备或服务器使用便携电脑多台能够使用无线网卡，作为无线客户端DHCP服务器1台用于测试时为终端分配地址NTP服务器 （Win2003 Server）1台用于向被测设备同步网络时间4.2. 测试软件软件名称数量软件落实用途IxChariot1套用于WLAN网络的性能测试Chariot服务器软件一套，Chariot客户端软件：需具有10台以上终端的安装许可DNS Server1个用于集中控制型（轻量级AP系统）的跨三层网络链接测试Airmagnet 或Airopeek1套无线空口抓包Ethereal1套有线抓包软件，用于报文合法性测试Ping Tester Professional1套快速ping包软件，用于快速检测网络状态VLC1套组播视频播放软件4.3. 测试组网图1：测试组网图其中，Cisco6509位于公网，其下挂一台11i认证服务器（与测试所用的DNS合用同一台服务器）、AS认证服务器、NTP服务器；六台厂家AC设备（用于AC备份切换测试）。4.4. 测试说明在本测试方案中，所有设备的配置原则上应通过AC管理界面配置，在无法通过AC管理界面配置前提下，允许使用命令行方式配置，但在测试结果中必须注明。送测设备应可同时配置4个业务SSID，其中 业务SSID1缺省配置为“ChinaNet”，并配置为明文接入，缺省开启2层隔离；在本测试方案中，未明确说明的测试用例中仅需要对缺省的SSID1（“ChinaNet”）进行测试，其他SSID一般无需测试。5. 物理接口测试5.1. AC接口测试5.1.1. LAN接口测试项目：AC LAN接口测试测试目的：测试AC设备支持100M/GE/10GE以太网接口功能测试工具：无测试类型：必须测试配置：1、 在接入交换机和AC上配置VLAN1000，接入交换机和AC相连的接口、AC和接入交换机相连的接口允许VLAN 1000通过；2、 在AC的VLAN 1000对应三层接口上，配置接口IP地址为192.168.1.1/24；3、 在接入交换机的VLAN 1000对应三层接口上，配置接口IP地址为192.168.1.2/24。测试组网图：ACLAN Switch测试过程：1、 在AC上观察和接入交换机相连的端口状态，并在AC上ping 接入交换机的接口地址192.168.1.2；2、 若AC设备支持1000M电接口，更换AC和接入交换机互连的端口为1000M电口，重复步骤1进行测试；3、 若AC设备支持1000M光接口，更换AC和接入交换机互连的端口为1000M光口，重复步骤1进行测试；4、 若AC设备支持10GE接口，更换AC和接入交换机互连的端口为10GE端口，重复步骤1进行测试。应达到的要求、指标和预期结果：1、 步骤1，AC的LAN接口状态为up，端口协商的速率为100M，从AC上可以ping通192.168.1.2；2、 步骤2，AC的LAN接口状态为up，端口协商的速率为GE，从AC上可以ping通192.168.1.2；3、 步骤3，AC的LAN接口状态为up，端口协商的速率为GE，从AC上可以ping通192.168.1.2；4、 步骤4，AC的LAN接口状态为up，端口协商的速率为10GE，从AC上可以ping通192.168.1.2。测试说明：1、 实际测试的接口类型，根据被测AC所支持的接口类型而定。测试结果：6. 基本功能测试6.1. AC基本功能测试6.1.1. AP同时支持集中和本地转发能力测试项目： AC基本功能测试测试目的：AP基于SSID同时支持集中转发和本地转发测试工具：Ethereal抓包软件测试类型：必须测试配置：1、 按照测试组网图，正确连接AC、LAN Switch、AP、DNS Server以及PC等设备；2、 在AC上配置AP的相关信息，使得AP能成功注册到AC；3、 配置两个明文WLAN服务，SSID分别为“ChinaNet-jz”和“ChinaNet-bd”， 并在AP的空口上应用。其中“ChinaNet-jz”为集中转发模式，“ChinaNet-bd”为本地转发模式；4、 在交换机上进行端口镜像，Port1为镜像端口，Port2为监控端口。测试组网图：VLAN120VLAN100Port2Port1STA1APLAN SwitchACPCBRASSTA2测试过程：1、 STA1选择接入“ChinaNet-jz”无线网络，STA2选择接入“ChinaNet-bd”无线网络；2、 STA1、STA2同时ping公网DNS服务器；3、 PC在交换机Port1进行抓包。应达到的要求、指标和预期结果：1、 步骤2，STA1、STA2都可以ping通公网DNS服务器；2、 步骤3，PC无法抓到STA1的ICMP报文，但能抓STA2的ICMP报文和隧道报文。测试说明：保存抓包结果测试结果：6.1.2. 与NTP服务器时钟同步功能测试项目：AC基本功能测试测试目的：AP和AC支持时钟同步功能，确保AP和AC与NTP服务器时钟同步测试工具：无测试类型：必须测试配置：1、 按照测试组网图，将AC、AP、NTP Server与交换机进行连接；2、 在AC上配置AP的相关信息，使AP能成功注册到AC上。测试组网图：APLAN SwitchACNTP Server测试过程：1、 记录当前NTP服务器、AC和AP的日期、时间；2、 手工修改NTP服务器的日期和时间为2000年12点零5分；3、 经过2分钟后，观察AC、AP的时间变化；4、 再将NTP服务器的日期和时间恢复到当前日期和时间；5、 经过2分钟后，观察AC、AP的时间变化。应达到的要求、指标和预期结果：1 步骤3，AP、AC的时间与NTP服务器时间保持一致，即2000年12点零5分；2 步骤5，AP、AC的时间与NTP服务器时间保持一致。测试说明：1、 为缩短测试时间，需要在AC上修改NTP时间更新周期为10s测试结果：序号操作内容NTP服务器ACAP1测试前时间2手工改NTP日期和时间2000年12点零5分3手工恢复将NTP恢复回当前日期和时间6.1.3. 防ARP欺骗功能测试项目： AC基本功能测试测试目的：测试AC支持防ARP欺骗功能 测试工具：无 测试类型：必须测试配置：1、 在AC上配置AP的相关信息，使AP能成功注册到AC上；2、 配置一个明文WLAN服务，SSID为“ChinaNet”， 并在AP的空口上应用；3、 关闭AC上的DHCP Snooping和防ARP欺骗的功能。测试组网图：STAACLAN SwitchAPDNS Server测试过程：1、 STA选择“ChinaNet”接入无线网络，自动从DHCP服务器获得公网IP地址；2、 STA ping公网DNS服务器；3、 将STA的IP地址手动配置为静态的同网段其他地址，重新接入网络；4、 STA ping公网DNS服务器；5、 开启AC上隔的DHCP Snooping和防ARP欺骗攻击的功能；6、 清空STA的ARP表；7、 STA ping公网DNS服务器。应达到的要求、指标和预期结果：1、 步骤2，STA可以ping通公网DNS服务器；2、 步骤4，STA可以ping通公网DNS服务器；3、 步骤7，STA无法ping通公网DNS服务器。测试说明：测试结果：6.1.4. 基于SSID的用户限速测试项目：WLAN AC功能测试测试目的：基于SSID对每个用户限速测试工具：VeriWave（WaveDynamix软件）测试类型：必须测试配置：1、 在AC上配置AP的相关信息，使AP能成功注册到AC上；2、 配置二个明文WLAN服务，SSID为“ChinaNet”和“ChinaNet1”，并在AP的空口上应用；3、 配置“ChinaNet” SSID的用户速率上行、下行分别限制为500Kbps；“ChinaNet1”SSID的用户速率上行、下行分别限制为1M bps。测试组网图：ACAPVeriWave测试过程：1、 在VeriWave上模拟5个无线终端，选择接入“ChinaNet”；再模拟5个无线终端，选择接入“ChinaNet1”；2、 在VeriWave上构造到每个无线终端的数据流，每条数据流2Mbps，报文长度为1518字节；发送下行流量（经AC到AP方向），观察VeriWave无线接口收包情况；3、 在VeriWave上构造从每个无线终端发出的数据流，每条数据流2Mbps，报文长度为1518字节；发送上行流量（经AP到AC方向），观察VeriWave有线接口收包情况；4、 取消“ChinaNet”和“ChinaNet1”的用户速率限制功能；5、 重复步骤3；6、 重复步骤4。应达到的要求、指标和预期结果：1、 步骤1，VeriWave可以搜索到“ChinaNet”和“ChinaNet1”WLAN服务网络；2、 步骤2，10个模拟终端分别成功接入到“ChinaNet”和“ChinaNet1”；3、 步骤3，连接“ChinaNet”五个模拟终端的下行速率均为500Kbps；连接“ChinaNet1”五个模拟终端的下行速率量均为1Mbps；4、 步骤4，连接“ChinaNet”模拟终端的上行速率均为500Kbps；连接“ChinaNet1”模拟终端的上行速率均为1Mbps；5、 步骤6，10个模拟终端的下行吞吐量均大于2Mbps左右；6、 步骤7，10个模拟终端的下行吞吐量均大于2Mbps左右。测试说明：测试结果：6.2. 二层功能测试6.2.1. VLAN Trunk功能测试项目：AC二层功能测试测试目的：测试AC设备以太网端口是否支持VLAN Trunk功能测试工具： TestCenter测试类型：必须测试配置：1、 按照测试组网图，将AC的两个以太网口Port1和Port2分别与测试仪器TestCenter两个端口Port1和Port2相连，并确保端口UP；2、 配置AC的端口Port1、Port2和TestCenter端口Port1、Port2均为trunk端口；3、 配置AC的端口Port2只允许VLAN 1000-1009通过。测试组网图：Port2Port2Port1Port1ACTestCenter测试过程：1、 在TestCenter上构造12个IP请求报文，其目的MAC为广播地址，源MAC为0000-0000-0001，且VLAN ID依次为10001011，从TestCenter端口Port1向AC端口Port1发送，在TestCenter端口Port2观察收包情况；2、 更改AC端口Port1的配置，只允许VLAN 1000-1004通过；3、 重复步骤1，并在TestCenter端口Port2观察收包情况。应达到的要求、指标和预期结果：1、 步骤1，TestCenter端口Port2能够接收到TestCenter端口Port1发出的10个IP请求报文；在TestCenter端口Port2抓包可以发现，报文源MAC均为0000-0000-0001，且携带的VLAN ID依次为10001009；2、 步骤3，TestCenter端口Port2能够接收到TestCenter端口Port1发出的5个IP报文，报文源MAC均为0000-0000-0001，且携带的VLAN ID依次为10001004。测试说明：测试结果：6.2.2. 基于AP的VLAN支持能力测试项目： AC二层功能测试测试目的：基于AP的VLAN功能测试测试工具： 无测试类型：必须测试配置：1、 在AC上配置AP的相关信息，使得AP能成功注册到AC上；2、 配置两个明文WLAN服务，SSID分别为“ChinaNet1”和“ChinaNet2”， 并同时在AP1、AP2的空口上应用； 3、 在AP1上，将“ChinaNet1”映射到VLAN100，“ChinaNet2”映射到VLAN120；在AP2上，将“ChinaNet1”映射到VLAN120，“ChinaNet2”映射到VLAN100；4、 AC配置连接PC1的端口以access方式属于VLAN100，连接PC2的端口以access方式属于VLAN120，配置PC1的地址为100.1.1.1、PC2的地址为200.1.1.1。测试组网图：AP1LAN SwitchACAP2STA1PC1PC2STA2测试过程：1、 在AC上关闭AP2的射频接口，使终端只能在AP1接入；2、 STA1选择 “ChinaNet1”接入无线网络，连接成功后，配置IP地址为100.1.1.2/24，并ping PC1地址；3、 STA2选择 “ChinaNet2”接入无线网络；连接成功后，配置STA2的IP地址为200.1.1.2/24，并ping PC2地址；4、 开启AP2的射频接口，关闭AP1的射频接口，使终端只能在AP2接入；5、 STA1选择 “ChinaNet1”接入无线网络，连接成功后，配置IP地址为100.1.1.2/24，并ping PC1地址；6、 STA2选择 “ChinaNet2”接入无线网络；连接成功后，配置STA2的IP地址为200.1.1.2/24，并ping PC2地址。应达到的要求、指标和预期结果：1、 步骤2，STA1可以ping通PC1，不能ping通PC2；2、 步骤3，STA2可以ping通PC2，不能ping通PC1；3、 步骤5，STA1可以ping通PC2，不能ping通PC1；4、 步骤6，STA2可以ping通PC1，不能ping通PC2。测试说明：测试结果：6.2.3. QinQ功能测试项目：AC二层功能测试测试目的：AC基于无线用户的QinQ功能的测试测试工具：Ethereal测试类型：必须测试配置：1、 在接入交换机配置端口1的VLAN ID为101，即为AP上联VLAN；2、 在汇聚switch端口1使能QinQ 功能，入方向打上外层VLAN ID为1000；端口2和3都配置VLAN trunk，端口3充许二层VLAN（1000，101）、（1001，110）透传；端口2充许二层VLAN（1001，110）透传；3、 在AC上与汇聚交换机相连的端口，配置成VLAN Trunk，与AP相连为双层VLAN（1000，101），业务VLAN（与DHCP Server相连）为双层VLAN（1001，110）；4、 AC上配置IP地址池：192.168.2.0/24，为AP动态分配IP地址； 5、 TestCenter作为DHCP Server，地址池配为192.168.100.0/24，负责为用户终端（STA）分配IP地址，网关为192.168.100.1；6、 在AC上配置AP的相关信息，使得AP能成功注册到AC上；7、 配置一个明文WLAN服务，SSID为“ChinaNet”， 并在AP的空口上应用；8、 AP通过DHCP方式由AC负责分配IP地址；9、 STA通过DHCP方式由DHCP SERVER负责分配IP地址。测试组网图：TestCenter端口1端口2端口2端口1端口3AP1接入switch汇聚switchSTA1DHCP ServerAC测试过程：1、 STA选择“ChinaNet”接入无线网络；2、 从STA ping DHCP SERVER的网关地址192.168.100.1；3、 在汇聚swtich端口3上抓包。应达到的要求、指标和预期结果：1、 步骤1，STA可获取到192.168.100.0网段的IP地址；2、 步骤2，STA 能ping 通DHCP SERVER；3、 步骤3，AC可以正确地为STA标识双层业务VLAN；从汇聚switch端口3上抓包，AP与AC的隧道报文为双层VLAN（1000，101）；用户业务VLAN为双层VLAN（1001，110）。测试说明：测试结果：6.2.4. 端口镜像功能测试项目：AC二层功能测试测试目的：AC能够对指定端口进行报文镜像测试工具：Ethereal抓包软件测试类型：必须LAN Switch测试配置：1、 配置明文WLAN服务，SSID分别为“ChinaNet”， 并在AP的空口上应用；2、 AC上进行端口镜像，Port1为镜像端口，Port2为监控端口；3、 PC上安装Ethereal抓包软件。测试组网图：Port2Port1STAAPLAN SwitchACPCBRAS测试过程：1. STA选择接入“ChinaNet”无线网络，自动获取公网地址；2. STA ping公网DNS服务器；3. 取消AC的端口镜像功能；4. 重复步骤2。应达到的要求、指标和预期结果：1、 步骤2，在PC上可以抓到隧道报文，和STA 的ICMP报文；2、 步骤2，在PC上抓不到隧道报文，也抓不到STA 的ICMP报文。测试说明：测试结果：6.2.5. 端口聚合功能测试项目：AC二层功能测试测试目的：AC能够支持LACP功能，为网络提供可靠性和带宽可扩展性测试工具：TestCenter测试类型：必须测试配置：1、 按照测试组网图，AC的端口port1、port2分别与交换机端口port1、port2相连，TestCenter的端口port1和port2分别连接AC端口port3和交换机端口port3；2、 在AC和交换机上均使能LACP。；测试组网图：Port3(10G)Port3(1G)Port2(1G)Port2(1G)Port2(10G)Port1(1G)Port1(1G)Port1（10G）（）ACTestCenterLAN Switch测试过程：1、 由TestCenter的port1和port2同时发送流量，其中，由port1发往port2的流量，源MAC地址为0000-0000-0001,目的MAC为0000-0000-0002，源IP为10.1.1.1，目的IP为10.1.1.2，并且源ip从第24位开始递增10000次；由port2发往port1的流量，源MAC地址为0000-0000-0002,目的MAC为0000-0000-0001，源IP为10.1.1.2，目的ip为10.1.1.1，并且源IP从第24位开始递增10000次；用TestCenter进行双方向的吞吐量测试；2、 查看交换机和AC上的LACP信息；3、 Shutdown AC端口port1与交换机端口port1相连接的链路，观察流量情况；4、 恢复AC端口port1与交换机端口port1相连接的链路，观察流量情况；5、 Shutdown AC端口port2与交换机端口port2相连接的链路，观察流量情况。应达到的要求、指标和预期结果：1、 步骤2中，在交换机和AC上均可查看到，port1和port2自动加入聚合组，且状态都是selected；2、 步骤3中，TestCenter port2收到了TestCenter port1发送的报文，且流量为1Gbps；3、 步骤4中，TestCenter port2收到了TestCenter port1发送的报文，且流量为2Gbps；4、 步骤5中，TestCenter port2收到了TestCenter port1发送的报文，且流量为1Gbps。测试说明：1、 TestCenter发送的每条流的流量大小：被测AC为10GE口时，流量值为15Gbps；被测AC为GE口时，流量值为1.5Gbps；被测AC为100M口时，流量值为150Mbps。预期结果中TestCenter port2收到的流量值也需要进行相应数量级调整。测试结果：6.2.6. MSTP防环路功能测试项目：AC二层功能测试测试目的：AC能够根据不同的VLAN实例发现环路，并且阻断环路测试工具：拼包软体测试类型：必须测试配置：1、 按照测试组网图进行连接，交换机1、交换机2和AC间组成物理环路。 2、 交换机1、交换机2与AC两两间相连的端口均以trunk方式加入VLAN150和VLAN160；PC1连接的交换机端口加入vlan 150，PC2连接的交换端口加入vlan 160；3、 在AC上配置AP的相关信息，使得AP能成功注册到AC上；4、 配置一个明文WLAN服务，SSID为“ChinaNet”， 并在AP1、AP2的空口上应用；在AP1上将“ChinaNet”映射到VLAN150，在AP2上将“ChinaNet”映射到VLAN160。测试组网图：STA2AP2PC1AP1STA1AC二层交换机1二层交换机2PC2测试过程：1、 STA1选择接入AP1 “ChinaNet”的无线网络；STA2选择接入AP2“ChinaNet”的无线网络；2、 AC、交换机1、交换机2均不启用MSTP功能；3、 STA1与PC1持续ping对端，STA2与PC2持续ping对端，观察AC、交换机1、交换机2端口情况；4、 在交换机1、交换机2和AC上启用MSTP功能，并配置设备优先级；交换机1在vlan 150中优先级最高，而交换机在vlan 160中优先级最高，查看设备STP状态；5、 STA2与PC2持续ping对端。应达到的要求、指标和预期结果：1、 步骤2，AC、交换机1、交换机2形成广播风暴，两两相连的端口状态灯频繁闪亮；STA1与PC1间、STA2与PC2间的ping包丢包严重；2、 步骤3，交换机1为vlan 150的根节点，交换机2为vlan160的根节点；STA1与PC1间ping包不丢包，且在AC、交换机1上可查看到报文经过AC与交换机1间的链路转发；3、 步骤4，STA2与PC2间ping包不丢包，且在AC、交换机1和交换机2上可查看到报文沿AC交换机2交换机1的路径转发。测试说明：1、 可通过在AC或交换机上查看端口对应的灯是否闪亮来判断此端口是否在收发数据；测试结果：6.2.7. IGMP Snooping功能测试项目：AC二层功能测试测试目的：支持IGMP snooping功能 测试工具：VLC，Airmagnet/OminiPeek测试类型：必须测试配置：1、 在AC上根据AP的设备序列号配置AP1和AP2的相关信息；2、 配置一个明文WLAN服务，SSID为“ChinaNet”， 并在AP1、AP2的空口上应用；将“ChinaNet”映射到VLAN100；3、 在AC的VLAN100上开启IGMP snooping；4、 STA1与STA2通过“ChinaNet”分别与AP1、AP2关联；5、 在组播服务器、STA1和STA2上安装VLC，保证STA1、STA2和组播服务器二层可达。测试组网图：AP1LAN SwitchACAP2STA1组播服务器STA2测试过程：1、 组播源VLC播放视频，发送组播报文；2、 在STA1配置VLC：文件-打开网络串流-UDP/RTP多播接收组播的地址为225.1.1.1，端口号为1234，确定，点播视频。分别对AP1和AP2进行空口抓包，查看组播报文的BSSID值；3、 在STA2关联到AP2上。配置VLC：文件-打开网络串流-UDP/RTP多播接收组播的地址为225.1.1.1，端口号为1234，确定，点播视频。分别对AP1和AP2进行空口抓包，查看组播报文的BSSID值。应达到的要求、指标和预期结果：1、 步骤2，STA1可以正常点播视频；空口抓到的组播报文，只有BSSID值为AP1的组播报文，没有BSSID值为AP2的组播报文；2、 步骤3，STA1、STA2均可正常点播视频；空口抓到的组播报文，有BSSID值为AP1和AP2的组播报文。测试说明：测试结果：6.3. 三层功能测试6.3.1. DHCPv4/DHCPv6（DHCPv6方式）Server项目：AC三层功能测试测试目的：AC支持DHCPv4/DHCPv6 Server功能测试工具：无测试类型：必须测试配置：1. 在AC上配置AP的相关信息，使AP能成功注册到AC上；2. 在AC上配置一个Ipv4地址池Pool1和一个IPv6地址池Pool2；其中Pool1负责为VLAN100分配地址，配置IP网段为192.168.100.0/24，配置三层接口IP地址为192.168.100.1；Pool2负责为VLAN200分配地址，配置IPv6网段为2001:/24，配置三层接口IPv6地址为2001:1/24；3. 配置两个明文WLAN服务，SSID分别为“ChinaNet-IPv4”和“ChinaNet-IPv6”， 并同时在AP的空口上应用； 将“ChinaNet-Ipv4”映射到VLAN100，“ChinaNet-Ipv6”映射到VLAN200。测试组网图：SSID2: ChinaNet-IPv6SSID1: ChinaNet-Ipv4STA1ACLAN SwitchSTA2APPC测试过程：1、 STA1、STA2均配置为自动获取IP地址，并分别关联到“ChinaNet-IPv4”和“ChinaNet-IPv6”；2、 查看AC DHCP地址池的分配情况；3、 通过PC进行抓包。应达到的要求、指标和预期结果：1、 步骤1，STA1成功接入AC，并获得192.168.100.0/24网段的地址；STA2成功接入AC，并获得2001:/24网段地址；2、 步骤2，AC上DHCP地址池Pool1中，成功分配出一个IPv4地址，且地址值与STA1获得的地址相同；Pool2中成功分配出一个IPv6地址，且地址值与STA2获得地址相同；3、 步骤3，在PC上能够抓到AP1通过IPv4地址进行关联的隧道报文，AP2通过IPv6地址进行关联的隧道报文。测试说明：测试结果：6.3.2. AP跨IPv6网络发现AC并立建隧道项目：IPv6 功能测试测试目的：AP通过Ipv6 DNS方式发现AC建立隧道的测试测试工具：IPv6 DNS服务器，DHCPv6服务器测试类型：必须测试配置：1. 在AC上配置AP的相关信息，使得AP能成功注册到AC上，配置服务模版“CHINANET”属于VLAN102；2. 三层交换机端口1连接AP，设为VLAN100，端口1关闭ND HALT 功能，配置IPv6的接口地址为1000：1 /64；端口2属于VLAN200，与AC连接，配置IPv6的接口地址为2000：1 /64；端口3属于VLAN300，配置IPv6的接口地址为3000：1 /64，连接二层交换机；并使能DHCP relay功能；3. 在DHCP SERVER上配置一个IPv6地址池Pool1；其中Pool1负责为AP分配IP地址，并告之IPv6 DNS 服务器地址；4. DNS服务器上配置AC域名与IPv6地址解析；5. 在DHCPv6 SERVER和IPv6 DNS SERVER上配置IPv6 网关为3000：1 /64；6. 在三层交换机上，将连接AP端口的出入双方向报文镜像到PC上。测试组网图：端口1 V100端口2 V200IPv6 DNS SERVERDHCPv6 SERVER三层交换机APSTA1 ACPC交换机端口3 V300测试过程：1 AP接入交换机，在AC上，查看当前AP状态；2 PC抓包分析端口1出、入方面的报文；3 STA选择“CHINANET”服务并接入无线网络；4 STA Ping AC地址。应达到的要求、指标和预期结果：1 步骤1，在AC上AP为“RUN”状态；2 抓包能够看到AP生成与三层交换机端口1相同前缀的IPv6地址，通过IPv6报文从DHCP SERVERS获取DNS服务器地址，向DNS服务器请求AC地址，并与AC建立IPv6隧道的过程；3 步骤3，STA 能够无线网络，并且自动获得由AC分配到相应的IPv6地址，并能够ping通AC。测试说明：1 网络需保证服务器与AP/AC Ipv6 三层可达测试结果：6.3.3. DHCPv4 Server分配地址能力项目：AC三层功能测试测试目的：AC同一个IP地址池可以为不同VLAN下的用户分配地址测试工具：无测试类型：必须测试配置：1、 在AC上配置AP的相关信息，使得AP能成功注册到AC上；2、 在AC上配置一个Ipv4地址池：192.168.10.0/24，负责为VLAN100，VLAN200下用户分配地址；3、 配置两个WLAN服务，SSID分别为“ChinaNet”，“ChinaNet1”， 同时在AP的空口上应用；将“ChinaNet”映射到VLAN100，“ChinaNet1”映射到VLAN200。测试组网图：SSID: ChinaNet1, VLAN 200SSID: ChinaNet, VLAN 100STA1ACLAN SwitchAPSTA2测试过程：1、 STA1、STA2均配置为自动获取IP地址，并分别关联到“ChinaNet”和“ChinaNet1”；2、 AC上关闭二层隔离功能，STA1、STA2分别从AC上获得IP地址；3、 STA1 ping STA2；4、 查看AC DHCP地址池的分配情况。应达到的要求、指标和预期结果：1、 步骤1，STA1、STA2分别能成功接入“ChinaNet”和“ChinaNet1”；2、 步骤2，STA1和STA2从AC上获取同一网段的IP地址；3、 步骤3，STA1能ping通STA2。测试说明：查看AC上的配置，确认“ChinaNet”和“ChinaNet1”分别对应二个不同的VLAN测试结果：7. AC安全功能测试7.1. 基本安全能力测试7.1.1. 静态黑名单测试项目： AC安全功能测试测试目的：支持静态黑名单功能测试工具：无 测试类型：必须测试配置：1、 在被测AC上配置AP的相关信息，使得AP能成功注册到AC上；2、 配置一个WLAN服务，SSID为“ChinaNet”，并在AP的空口上应用；3、 将STA1 的MAC地址添加到静态黑名单列表。测试过程：1、 STA1 尝试关联到“ChinaNet”；2、 将STA1的MAC地址从静态黑名单列表中删除；3、 STA1 尝试关联到“ChinaNet”。应达到的要求、指标和预期结果：1、 步骤1，STA1无法成功接入“ChinaNet”无线网络；2、 步骤2，STA1可以成功接入“ChinaNet”无线网络。测试说明：测试结果：7.1.2. 访问控制（ACL）功能测试项目：AC安全功能测试测试目的：测试AC访问控制功能。测试工具：IxChariot测试类型：必须测试配置：1、 在被测AC上配置AP的相关信息，使得AP能成功注册到AC上；2、 配置一个WLAN服务，SSID为“ChinaNet”，并在AP的空口上应用；3、 配置ACL规则rule1为：对源IP为STA1 IP地址的数据流进行过滤；4、 配置ACL规则rule2为：对目的IP为公网DNS服务器IP地址的数据流进行过滤；5、 配置ACL规则rule3为：对IP Protocol为ICMP的数据流进行过滤；6、 配置ACL规则rule4为：对UDP源端口为1000的数据流进行过滤；7、 配置ACL规则rule5为：对TCP目的端口为1001的数据流进行过滤。测试组网图：STA1ACLAN SwitchAPDNS ServerSTA2测试过程：1、 STA1、STA2关联到“ChinaNet”；2、 整个测试过程中，STA2持续Ping公网DNS服务器；3、 在AC上下发ACL规则rule1，然后由STA1 Ping公网DNS服务器；4、 在AC上删除rule1，同时下发rule2，然后由STA1 Ping公网DNS服务器；5、 在AC上删除rule2，同时下发rule3，然后由STA1 Ping公网DNS服务器；6、 在AC上删除rule3，同时下发rule4；在客户端PC上启动Chariot控制服务，设置测试时间为两分钟，设置测试脚本为Chariot FILESENDL脚本，采用UDP作为测试数据流，端口号为1000设置客户端PC作为Endpoint1，STA1作为Endpoint2；7、 在AC上删除rule4，同时下发rule5，在客户端PC上启动Chariot控制服务，设置测试时间为两分钟，设置测试脚本为Chariot FILESENDL脚本，采用TCP作为测试数据流，端口号为1001设置客户端PC作为Endpoint1，STA1作为Endpoint2。应达到的要求、指标和预期结果：1、 除步骤5外， STA2一直Ping通公网DNS服务器，且不丢包；2、 步骤4中，STA1无法Ping通公网DNS服务器；3、 步骤5中，STA1无法Ping通公网DNS服务器；4、 步骤6中，rule4下发前有吞吐量，待rule4下发后吞吐量为零；5、 步骤6中，rule5下发前有吞吐量，待rule5下发后吞吐量为零。测试说明：1、 在测试基于目的IP、基于IP Protocol，源TCP/UDP端口、目的TCP/UDP端口接入控制时，每个新测试点执行之前，所有ACL相关配置必须先清空。测试结果：7.2. 用户侧二层隔离测试7.2.1. 单AC多AP下二层隔离（单播/广播）项目：AC安全功能测试测试目的：测试WLAN热点接入设备支持二层隔离功能（单播/广播）测试工具：单播/广播包发送软件测试类型：必须测试配置：1、 在被测AC上配置AP1、AP2的相关信息，使得AP1、AP2能成功注册到AC上；2、 配置一个WLAN服务，SSID为“ChinaNet”，并在AP1、AP2的空口上应用。测试过程：1、 STA1和STA2选择“ChinaNet”SSID 接入WLAN；2、 STA1配置192.168.1.2IP地址，并通过AP1接入“ChinaNet”；3、 STA2配置192.168.1.3IP地址，并通过AP2接入“ChinaNet”；4、 二台AP均关闭二层隔离功能；5、 从STA1上Ping STA2；6、 停止拼包，然后从STA1通过广播包发送软件发送广播数据包给STA2；7、 二台AP均开启二层隔离功能；8、 从STA1上Ping STA29、 停止拼包，然后从STA1通过广播包发送软件发送广播数据包给STA2。应达到的要求、指标和预期结果：1、 步骤5，STA1可以ping通STA2；2、 步骤6，STA2可以收到STA1广播包；3、 步骤8，STA1不能ping通STA2；4、 步骤9，STA2不能收到STA1广播包。测试说明：测试结果：7.2.2. 单AC多AP下二层隔离（组播）项目：AC安全功能测试测试目的：测试AC设备支持不同AP下用户的二层隔离功能（组播）测试工具：VLC测试类型：必须测试配置：1. 在被测AC上配置AP1、AP2的相关信息，使得AP1、AP2能成功注册到AC；2. 配置一个WLAN服务，SSID为“ChinaNet”，并在AP1、AP2的空口上应用；3. 在AC的VLAN100上开启IGMP snooping；4. STA1与STA2通过“ChinaNet”分别与AP1、AP2关联；5. STA1和STA2上安装VLC，STA1作为组播服务器，保证STA1和STA2二层可达。测试过程：1. STA1通过AP1接入“ChinaNet”无线网络；2. STA2 AP2接入“ChinaNet”无线网络；3. 二台AP均关闭二层隔离功能；4. 组播源（STA1）VLC播放视频，发送组播报文；5. 在STA2配置VLC：文件-打开网络串流-UDP/RTP多播接收组播的地址为225.1.1.1，端口号为1234，确定，点播视频；6. 二台AP均开启二层隔离功能；7. STA2再点播视频。应达到的要求、指标和预期结果：1、 步骤5，STA2点播成功，可以观看视频；2、 步骤7，STA2点播不成功，无法观看视频。测试说明：测试结果：7.3. 攻击防范测试7.3.1. 防无线泛洪攻击（Flooding Attack）项目：AC安全功能测试测试目的：防无线泛洪攻击(Flooding Attack)功能测试测试工具：VeriWave测试仪器中的WaveDynamix测试类型：必须测试配置：1、 在AC上配置AP的相关信息，使得AP能成功注册到AC上；2、 配置一个明文WLAN服务，SSID为“ChinaNet”， 并在AP的空口上应用；3、 在AC上开启泛洪攻击防范功能。测试组网图：STA1ACLAN SwitchAPDNS ServerVeriWave测试过程：1、 STA1选择“ChinaNet”接入无线网络，并ping公网DNS服务器；2、 用Veriwave测试仪器模拟攻击者，以STA1的MAC地址为源MAC，发送类型为Authentication的802.11管理报文，报文发送速率要超过100pps；