当然，如果仅仅是放开控制器AC对用户的认证工作，虽然解除了上面的矛盾，或者避免了增加的故障点，但是从安全角度上看是很有风险的。但是通过图2，大家可以发现：Switch C并不是像其他汇聚那样简简单单通过光纤跳线直接连接到骨干网上，而是在与核心网络进行相连双链路的中间串接了一个认证网关AAA 1，这个认证负责Switch C上路由到Switch A的用户进行认证工作而不对用户网络活动的时间或流量进行记录，同时认证网关AAA 1与出口的计费认证AAA 进行联动，保证将用户的认证信息传递到AAA上，做到用户一次认证之后在访问校内资源的同时兼顾校外访问。这里需要说明，需要在Switch C上建立DNS（AAA1 免认证）或者将校园网的DNS设置成免认证资源以保证无线用户的访问。

　　该拓扑设计之初，在考虑到AP与控制器AC之间采用隧道技术进行通讯的情况下，并没有设计动态路由和增加Switch C与Switch B的链路，因此在实施过程中给AAA 1带来了双倍的流量，即用户通过AP与AC之间的隧道流量以及A C 转发的用户访问网络的流量。虽然AAA 1只进行认证工作，但是无线网络用户日益增长的流量对于一个x86构架的网关来说还是尽量小一些为好。之后结合其他院校无线独立成网的经验增加了Switch C与Switch B之间的链路，并使用RIP进行路由调整，使得认证AAA 1的压力大为低，同时使网络流量更加清晰，虽然这样的构架在Switch C部署的时候需充分权衡其部署位置和与各汇聚之间光纤线路的空余数量这两个因素。

　　总之，通过上述模型的实践，在具体实施过程中，解决了本文上面提到的问题，取得了一定的效果。