无线网络技术方案

admin管理员组

文章数量:1538788

2024年4月25日发(作者：)

无线网络技术方案

1

无线网络技术工程

一、概述

1.2 无线局域网概述

无线局域网（WLAN）技术于20世纪90年代逐步成熟并投入商用，既可以作

传统有线网络的延伸，在某些环境也可以替代传统的有线网络。对比传统的有线

传输解决方案，使用WLAN网络实现数据传输具有以下显著特点：

➢ 简易性：WLAN网络传输系统的安装快速简单，可极大的减少敷设管道及

布线等繁琐工作；

➢ 灵活性：无线技术使得WLAN设备可以灵活的进行安装并调整位置，使无

线网络达到有线网络不易覆盖的区域；

➢ 综合成本较低：一方面WLAN网络减少了布线的费用，另一方面在需要频

繁移动和变化的动态环境中，无线局域网技术可以更好地保护已有投资。同时，

由于WLAN技术本身就是面向数据通信领域的IP传输技术，因此可直接通过百兆

自适应网口和企业内部Intranet相连，从体系结构上节省了协议转换器等相关

设备；

扩展能力强：WLAN网络系统支持多种拓扑结构及平滑扩容，可以十分容易

地从小容量传输系统平滑扩展为中等容量传输系统；

随着WLAN技术的快速发展和不断成熟，目前在国内外已经具有较多的政府

机构使用WLAN技术布置无线城域网，进行承载部分政府业务，诸如：电子政备、

消防、公安信息等等，如：美国费城、荷兰阿姆斯特丹等。

无线局域网技术经过十几年的发展，已经历了三代技术及产品的发展。

第一代无线局域网主要是采用Fat AP（即“胖”AP），每一台AP都要单独

进行配置，费时、费力、费成本；

第二代无线局域网融入了无线网关功能但还是不能集中进行管理和配置，其

管理性和安全性以及对有线网络的依赖成为了第一代和第二代WLAN产品发展的

瓶颈，由于这一代技术的AP储存了大量的网络和安全的配置，包括加密的钥匙，

Radius client的安全密码 (secret) 等，而AP又是分散在建筑物中的各个位

置，一旦AP的配置被盗取读出并修改，其无线网络系统就失去了安全性。另外

2

由于AC或无线网关的硬件多数是基于Pentium架构的，所以当用户接入数量 (IP

sessions)增多时，无线网的性能会急剧下降，时常会发生掉线或死机情况。在

这样的环境下，基于无线交换机技术的第三代WLAN产品应运而生。

第三代无线局域网采用无线交换机和AP（即“瘦”AP）的架构，对传统WLAN

设备的功能做了重新划分，将密集型的无线网络和安全处理功能转移到集中的

WLAN 交换机中实现，同时加入了许多重要新功能，诸如无线网管、AP间自适应、

无线安管、RF监测、无缝漫游以及Qos。，使得无线局域网的网络性能、网络管

理和安全管理能力得以大幅提高。

二、需求分析

总体目标是：

本工程具体的建设目标是：

1、采取通行的网络协议标准：目前无线局域网普遍采用802.11系列标准，

因此无线局域网将主要支持802.11g（54M带宽）标准以提供可供实际应用的相

对稳定的网络通讯服务；

2、全面的无线网络支撑系统（包括无线网管、无线安全等），以避免无线

设备及软件之间的不兼容性或网络管理的混乱而导致的问题；

3、保证网络访问的安全性，支持MAC、Portal或802.1x安全认证方式；

工程布线和安装要求：

1、室内部分：定好较为开阔位置，将网线和电源线走暗线敷设到位；挂在

墙上，可利用设备本身自带的安装附件进行安装；如果需要遮蔽，则需要定制非

金属安装盒；如果是挂在天花板上，则根据天花板的情况而定，若天花板是非金

属结构，可以固定在天花板内。安装过程中应充分考虑防盗问题。

2、供电部分：AP的供电可采用POE方式由接入的网络设备进行供电（也可

进行本地供电）。

➢ 产品能力要求：

1、具有无委会核准证；

2、产品支持AES、WEP加密等安全标准；

3

3、漫游切换；

4、支撑QOS能力

三、网络建设方案

结合WLAN的实际应用和发展要求，无线局域网(WLAN)网络系统设计，主要

遵循以下系统总体原则：

 实用性原则：以现行需求为基础，充分考虑发展的需要来确定系统规模。

 安全性原则： WLAN网络是一个开放网络，需要对用户以及网络做到安

全保障。

 可靠性原则：系统设计能有效的避免单点失败，在设备的选择和关键设

备的互联时，应提供充分的冗余备份，一方面最大限度地减少故障的可能性，另

一方面要保证网络能在最短时间内修复。

 成熟和先进性原则：需要及时将新技术引用进来，更好的开展业务，同

时也要求保证网络与业务的可靠性。

 规范性原则：系统设计所采用的技术和设备应符合WLAN国际标准、国家

标准和联通WLAN企业标准，为系统的扩展升级、与其他系统的互联提供良好的

基础。

 开放性和标准化原则：在设计时，要求提供开放性好、标准化程度高的

技术方案；设备的各种接口满足开放和标准化原则。

 可扩充和扩展化原则：所有系统设备不但满足当前需要，并在扩充模块

后满足可预见将来需求，如带宽和设备的扩展，应用的扩展和办公地点的扩展等。

保证建设完成后的系统在向新的技术升级时，能保护现有的投资。

 可管理性原则：整个系统的设备应易于管理，易于维护，操作简单，易

学，易用，便于进行系统配置，在设备、安全性、数据流量、性能等方面得到很

好的监视和控制，并可以进行远程管理和故障诊断。

3.1无线网络方案

3.1.1方案逻辑组网

采用无线接入点，支持802.11a或802.11b/g协议；在部分楼层设无线控制

4

起来对ap进行管理配置。

AP组网最大的优点在于AP本身零配置，AP上电后会自动从无线控制器下载

软件版本和配置文件，同时无线控制器会自动调节AP的工作信道以及发射功率。

另外，通过无线控制器的RF扫描探测热点地区Rouge AP，可以及时排除其他AP

存在的干扰，保障AP的稳定运行。在网络管理方面，网管可以只通过管理无线

控制器设备就可以达到控制AP的效果，极大的减少了无线网络后期维护和管理

的工作量。

使用无线控制器+AP时，AP在启动后会自动通过DHCP方式获取IP地址，并

自动搜寻可关联的无线控制器，在和无线控制器建立CAPWAP隧道之后会自动从

无线控制器下载配置文件和更新软件版本。

在AP的接入方面，思科拥有智能射频管理，当某一个AP出现故障时，周围

的其他AP会自动调整功率，对该部分区域进行重新的信号覆盖，保证信号的良

好覆盖。而当有非法AP进入无线网络造成信号干扰时，思科只能射频管理系统

可以定位出该AP的位置，以便及时加以排除。

无线控制器可以设定AP间对接入用户进行负载分担，当无线控制器发现AP

的负载超过设定的门限值以后，对于新接入的用户无线控制器会自动计算此用户

周围是否还有负载较轻的AP可供用户接入，如果有则AP会拒绝用户的关联请求，

用户会转而接入其他负载较轻的AP。如图所示。

思科公司创新性地支持智能负载均衡技术，保证只对处于AP覆盖重叠区的

无线用户才启动AP负载均衡功能，有效的避免误均衡的出现。

思科 AP方案还支持无线入侵检测。当有第三方的AP仿冒SSID时，无线控

制器会通过AP的反馈，迅速得到相应的信息，并上报网管，采取相应的信息。

管理员还可以对该设备发起攻击，使该第三方设备无法连接上相应的用户。

3.1.2频率规划与负载均衡：

➢ 频率规划

802.11g使用开放的2.4GHz ISM频段，可工作的信道数为欧洲标准信道数

13个。由于其支持直序扩频技术造成相邻频点之间存在重叠。对于真正相互不

5

重叠信道只有相隔5个信道的工作中心频点。因此对于802.11g在2.4GHz地工

作频段，理论上只能进行三信道的蜂窝规划实现对需要规划的热点的无缝覆盖。

此外，由于功率模板是否能做到符合邻道、隔道不干扰也非常影响频率规划的效

果。

信道标号

1

2

3

4

5

6

7

8

9

10

11

12

13

针对如何进行802.11g的频率规划作了大量的实验，实验证明3载频也可以

实现蜂窝对需要覆盖的区域进行无缝覆盖，并提供更高的服务带宽提高服务质量，

和高带宽业务的开展。`

频率规划需要配合使用的功能包括：

1、AP支持13个信道设置

2、AP支持100mW最大射频功率以及多级功率控制

3、AP支持外置天线以及定向天线

4、针对特殊应用还需要AP支持桥接功能、接入功能以及WDS功能

➢ 频率复用和负载均衡

6

中心频率（MHz）

2412

2417

2422

2427

2432

2437

2442

2447

2452

2457

2462

2467

2472

针对频率复用的设计与实现主要侧重于重叠区域，考虑到802.11技术中目

前业界主要采用DCF的仲裁，这样会导致从网络实施的角度出发，没有办法做到

像GSM、3G网络的控制力度，从技术原理的角度出发，没有办法实现很好的频率

复用，只能被动做些负载均衡的功能。每个AP具有54Mbps、48Mbps、36Mbps、

18Mbps等的覆盖范围，对于54Mbps的覆盖范围不重叠，对于54Mbps与18Mbps

就可能进行重叠，可以根据网络侧的负载功能进行实现一定程度的频率复用功能，

从网络规划的角度出发，WLAN基本上、下行无线链路复用的处理问题，因为目

前都是DCF方式，而从只能结合业务目标实现网络覆盖效果，具体网络使用效果

使用负载均衡功能进行实现。

负载均衡的功能实现具体原理如下：

1. 根据负载均衡的配置确定负载均衡的模式、SSID、其他参与负载均衡

的AP的标识、用户数或流量的阀值等进行一定的初始化；

2.

3.

确定本AP的2个射频模块连接的STA用户数量和流量；

通过UDP协议以私有方式定时进行AP间通讯。先进行握手，成功后

才进行数据的交换，获取参与负载均衡的AP的负载信息。

4. 当有STA要接入时，根据其工作频率，比较本AP上该射频下的负载

和其他AP的指定SSID下的用户数或流量，以及负载均衡的SSID绑定接口的速

率集，决定STA能否接入。同时要注意到若用户数已达到AP某个SSID的最大用

户数，则该AP的SSID不允许再接入STA；

➢ 容量规划

从业界实现的DCF方式来看，没有一个最大用户数的限制，但业界各个厂商

进行实现时都基于一定理解的前提下进行默认限制，思科目前每个AP最大的用

户默认限制为64个用户，并可以根据实际情况更改每个AP限制接入的用户数。

根据多年的WLAN部署经验，思科建议，从网络规划的角度出发，按照每个AP

覆盖20用户进行部署，可以保证用户的接入质量和正常需求下的网络吞吐量。

3.1.3网络管理

思科使用WSM无线业务管理器应能对无线网络中的AP、AC等设备作到统一

7

管理。WSM无线业务管理器依托iMC智能管理平台，实现有线无线一体化的管理，

在iMC系统全面的有线网络管理的基础上，为用户提供无线网络管理能力。用户

无需重新搭建IT管理平台，即可在原有的有线网络管理系统中增加无线管理功

能，与有线管理平台统一部署，节省用户投入，节约维护成本。

iMC智能管理中心采用分布式、组件化、跨平台的开放体系结构。通过选择

安装WSM无线业务管理器，用户可以获得全面的无线业务管理能力，实现AC设

备、FAT AP设备、AP设备、移动终端等无线设备的集中管理，轻松实现设备配

置管理功能，并提供资源分组、无线拓扑功能，对全网无线设备进行直观有效的

组织，对网络部署和设备状态一目了然，策略模板等功能实现网络和设备的批量

配置，提升效率，降低维护工作量，降低维护成本。基于Web的管理系统，为无

线业务管理者提供了简便、友好的管理平台。

与iMC智能管理平台及其它组件配合，还可实现无线设备的面板管理、故障

管理、性能监控、软件版本管理、配置文件管理、接入用户管理、用户认证管理

等功能，并可对网络中的其它设备进行统一管理，真正实现有线无线一体化管理。

另外，思科的所有设备均内置WEB网管，可以满足对SNMP要求不高的应用场

景。

3.1.4供电问题

由于本次无线网中AP设备数量不是很多，可以通过采用本地电源进行供电。

3.2覆盖解决方案

无线信号强度和传输距离的换算公式

AP加卡的信号总强度公式：

Gt－Gr＋AP天线增益＋终端天线增益＝L信号总强度（dB）

Gt（AP或终端功率，单位dB），Gr（终端或AP灵敏度，单位dB）

距离产生的信号衰减公式：

40＋20lgd＝L1（dB） d（距离，单位m）

工程中最大传输距离以45m计算，所以L1＝72dB

8

障碍物的衰减：

物体

地板

带窗户的砖墙

办公室墙

办公室墙的金属门

砖墙的金属门

靠近金属门的砖墙

dB

30

2

6

6

12.4

3

工程中实际的障碍物的最大衰减是临窗墙的衰减3dB加上房间墙的衰减

12dB等于15dB。

本次无线覆盖办公楼主要办公区域进行无线覆盖。粗略估计需要105台AP，

可以做到用户要求的全区域覆盖；根据楼宇的具体结构可以采用两种AP的安装

方式，直接壁挂安装和AP放置于天花板的方式安装；

以上方案中所列AP及配件数量均为预估值，可能根据具体情况进行调整。

四、基于802.1x的客户端快速部署技术（二期扩容可考虑）

网络的终端安全问题由来已久，但是由于终端的数目众多，部署管理软件客

户端的工作量太大，给解决终端安全问题造成了巨大障碍。为解决客户在部署客

户端方面遇到的工作量问题，思科公司在EAD客户端中集成了快速部署技术，不

需要管理员干预就可以自动下发客户端，解决了客户端部署的难题。

如果终端设备没有安装iNode智能客户端，认证成功之前（包括认证失败）

终端用户只能访问一个特定的隔离区或是某一个（或几个）服务器。当用户在

IE中输入网站地址试图访问外部网站时，交换机会将用户访问的URL重定向到

设置好的URL（例如iNode智能客户端下载界面），这样用户一打开IE就必须

进入管理员预设的界面。在预设界面会提供客户端和其他必须安装的软件链接供

用户安装，用户正确安装iNode智能客户端后进行认证，如果身份认证和安全认

证顺利通过，访问限制将被取消，用户获得正常的访问权限。

EAD快速部署提供了一个全新的特性，该特性为IT管理员和终端用户进行

iNode智能客户端软件的快速部署提供了极大的方便，有力的提高了EAD解决方

案的易部署性。

9

 Windows域统一认证技术

很多单位已经建立了基于Windows域的信息管理系统，通过Windows域管理

用户访问权限和应用执行权限。然而，基于Windows的权限控制只能作用到应用

层，而无法实现对用户的物理访问权限的控制，比如对网络接入权限的控制，非

法用户可随意接入用户网络，这就给网络应用安全带来很多隐患。为了更加有效

地控制和管理网络资源，提高网络接入的安全性，很多网络的管理者希望通过

802.1x认证实现对接入用户的身份识别和权限控制。

但是，将802.1x接入认证与域认证结合以加强网络安全的方案在具体的实

施过程中却遇到以下问题：

1、Windows域登录认证要求用户必须首先接入网络，建立用户与域控制器

间的网络连接，然后才可以登录并进入桌面。而一般的802.1x认证需要用户首

先进入桌面，然后才可以进行网络接入认证、建立网络连接。两种认证之间的时

序依赖关系产生了明显的矛盾，导致使用802.1x进行网络接入认证的用户无法

登录到Windows域。

2、Windows域与802.1x认证服务器各自拥有专用的用户身份识别和权限控

制信息，造成用户接入网络和登录Windows域时需要使用两套用户名和密码，给

用户的使用带来不少操作上的麻烦。

如何解决目前Windows域登录与802.1x认证的矛盾，融合网络中802.1x接

入认证与Windows域认证，全面简化用户操作，实现网络接入与Windows域的单

点登录，是目前许多IT管理员迫切需要解决的问题。

通过对802.1x认证流程和Windows域登录流程的深入研究，思科公司提出

了Windows 域与802.1x统一认证方案，平滑地解决了两种认证流程之间的矛盾，

避免了用户二次认证的烦琐。该方案的关键在于两个“同步”过程：

同步域用户与802.1x接入用户的身份信息（用户名、密码），EAD解决方

案使用LDAP功能实现用户和Windows域用户信息的同步。

同步域登录与802.1x认证流程，EAD解决方案通过思科自主开发的iNode

智能客户端实现认证流程的同步。

在应用思科 的Windows域与802.1x统一认证方案后，用户网络的安全性极

10

大增强。具体来说，实现Windows域与802.1x统一认证可为用户网络带来以下

优点：

增强了网络接入的安全性，有效杜绝非法用户接入，实现对非法用户的物理

隔离；

增强了Windows域的安全性，用户必须通过802.1x认证才能访问并登录到

Windows域中，提高了域内应用资源的安全性；

解决了Windows域登录与802.1x不能兼容的矛盾；

透明的统一认证流程，与通常的域认证过程完全一致，无需额外培训；

实现了网络接入与Windows域的单点登录，方便用户的使用与操作，减少用

户同时记忆两套用户名与密码的繁琐；

实现用户密码的统一、集中维护（由域控制器维护），提高了用户密码保护

的安全性，方便用户修改密码。

五、产品配置方案

本项目建议采用思科无线控制器，形成“AP + 无线控制器”的组网模式。

WA2210-AG无线接入点支持802.11a/b/g标准，负责无线用户的接入，并保证用

户接入的信号质量；WX3010对所有的AP进行管理与智能控制，保证用户能够安

全、稳定、高带宽的接入到Internet，并能为无线用户进行认证、鉴权，使无

线网络管理维护更简单。

七．思科方案的特点与优势

7.1 思科 AP方案的特点

7.1.1 智能射频管理

每个AP上电时，无线控制器会根据AP的邻居关系动态调整AP工作的信道

和发射功率，在保证覆盖的前提下保证AP间的干扰最小。

当AP覆盖区域受到外界强信号干扰时，无线控制器会控制AP自动切换到合

适的工作信道以规避干扰信号。

11

当覆盖区域内的某个AP发生故障而造成覆盖黑洞时，无线控制器会自动调

整相邻的AP的发射功率以消除黑洞区域，当故障AP恢复工作后无线控制器可以

自动调整邻居AP的发射功率恢复原始工作状态。

7.1.2 智能负载均衡

无线控制器可以设定AP间对接入用户进行负载分担，负载分担的策略可以

是基于AP接入的用户数量，AP流量负载情况

当无线控制器发现AP的负载超过设定的门限值以后，对于新接入的用户无

线控制器会自动计算此用户周围是否还有负载较轻的AP可供用户接入，如果有

则AP会拒绝用户的关联请求，用户会转而接入其他负载较轻的AP。

思科公司创新性地支持智能负载均衡技术，保证只对处于AP覆盖重叠区的

无线用户才启动AP负载均衡功能，有效的避免误均衡的出现。

7.1.4 支持无线入侵检测系统(WIDS)

思科 WLAN解决方案支持无线入侵检测系统(WIDS)，WIDS工作原理如下：

A. 无线控制器可以指定AP工作在两种工作模式：模式一、AP负责监听空

口所有信道的信息，但不负责用户报文的转发。模式二、AP在为用户转发数据

的同时定期切换到其他信道监听信息, AP设备负责把监听到的无线设备和有攻

击行为的无线设备上报给无线控制器

B. 无线控制器根据AP上报的设备信息识别非法设备

C. 无线控制器通过各种途径提供各种声、光、电的报警

D. 当有用户试图连接到非法的AP上时，用户会发起‘关联请求’，无线控

制器通过AP收到这个请求时，指挥周边的AP发‘解除关联’的指令，确保用户

不会连接到非法AP。

7.1.5 Portal认证支持

Portal认证又称为强制WEB认证，以其新业务支撑能力强大、无需安装客

户软件、与组网设备无关等特点，受到越来越多用户的欢迎。Portal认证业务

12

可以为管理者提供方便的管理功能，如要求所有的用户都到门户网站去认证，门

户网站可以开展广告、信息服务、个性化的业务等，为信息传播提供一个良好的

载体。

Portal认证原理

Portal 认证协议主要应用于思科公司提出的基于 WEB 的宽带接入认证系

统中，完成用户的认证和授权。整个 Portal 认证过程涉及到了Portal 页面，

WX3010 和 iMC 服务器。

Portal认证工作原理：未认证用户在访问网络时，可以直接访问为用户免

费开放的资源，当用户要使用网络中的收费资源时，设备会将用户的http请求

重定向到Portal门户网站，用户必须在门户网站进行认证，只有认证通过后才

可以访问这些资源。Portal认证的工作流程如下图所示：

认证流程：

用户通过IE访问需要授权的网络资源，设备发现用户还没有通过认证则强

制到Portal，Portal Server将WEB页面强推给用户，提示用户需要进行认证。

用户在WEB页面中输入用户名密码并提交认证，Portal Server将认证信息

发送给设备，设备将用户信息转换为Radius报文发送到iMC服务器进行认证。

iMC服务器对用户信息进行验证，确认无误后，下发认证通过报文以及相应

的权限控制信息给设备，设备放开用户的上网权限，同时iMC服务器开始进行计

费。

上网期间，用户PC和Portal Server定时发送心跳报文交互，以确保用户

没有因异常原因下线。

用户下线时，Portal Server收到用户下线请求并通知设备，iMC服务器终

止计费并通知设备断开用户。

7.1.6 多业务的安全性

思科 AP解决方案提供多种业务不同网络层面的安全保障，体现在：

层次体

系

主要技术 解决的问题

13

WEP64/128、TKIP、CCMP加密

物理接

入

SSID隐藏

802.1x/PSK/MAC/Portal多种

认证方式的混合接入

802.1x支持

逻辑链

PEAP/TLS/TTLS/SIM多种模式

路

可升级支持WAPI认证

动态下发用户的权限

Hotspot用户隔离

黑名单

无线入侵检测系统

安全策略在无线控制器统一

部署

网络 AC和AP间的CAPWAP隧道下行

流量限速

IPSEC VPN

资源绑写（MAC、ESS、VLAN、

Port）

AP本地不再保存配置信息

入

可升级支持WAPI加密

防止无线报文被监听和

篡改

解决不明用户访问网络

用户身份鉴别和安全准

业务隔离

限制用户互访

限制恶意用户

非法设备的检测、无线攻

击的告警和规避

避免在大量的无线接入

点部署策略

防范外界对AP的数据流

量攻击

端到端的安全加密

尽可能防止假冒

避免设备丢失造成配置

泄漏

只有合法的AP才能和无

线控制器建立关联

无线控制器down机不会

造成无线网络的瘫痪

无线安全策略的统一部

署

非法设备的检测、无线攻

设备 AP身份认证

AP支持多无线控制器的冗余

备份

无线安全策略配置

网管

非法设备监控和告警

14

击的告警和规避

设备信道调整告警

了解设备遭受干扰后的

信道调整情况

7.1.7 IPV6

为了适应下一代IP网络的部署要求，思科公司的AP能够同时满足IPv4和

IPv6两种不同网络的组网要求（图示），为了简化用户配置这种适应能力不需要

用户配置干预而是自适应调整。

无线控制器

IPv4/IPv6网络

AP

IPv4/IPv6 用户

作为AP的缺省发现方式AP会首先作为IPv4节点发起无线控制器发现过程，

当发现过程失败以后，AP会切换到IPv6节点方式继续无线控制器发现过程。 AP

会在以下两种情况下切换到IPv6模式：

➢ AP无法从DHCP server获取到IPv4网络地址

➢ AP在IPv4网络没有无线控制器响应AP的发现请求

➢ AP在IPv4网络中和所有的无线控制器建立连接失败

7.1.8 AP间无线漫游

思科无线漫游解决方案支持同一AC下AP之间，不同AC下AP之间的无缝快

速漫游，保证无线客户端在一个子网内部，从一个AP的覆盖范围移动到另一个

AP的覆盖范围时，通信不中断，用户无需重新登录和认证。

AP1与AP2分别与AC建立CAPWAP隧道；

15

无线用户与AP1进行关联，接入网络；AP会将用户的报文封装在隧道中送

给AC处理；

当无线用户从AP1往AP2方向移动时，无线用户向AP2发起认证和重关联请

求（此时重关联请求中携带无线用户与AP1协商出的PMK对应的PMKID；

AP2透传重认证请求报文到AC上；

AC检查发现此无线用户已经在AP1上进行认证，且通过PMKID成功查询得

到对应PMK，表明此无线用户为漫游用户；

重关联成功后，AC直接通知无线用户使用原有的PMK进行四次握手（4-Way

handshake）协商，得到实际数据加密使用的PTK。

无线用户与AP1解除关联，所有用户数据通过AP2进行转发。整个协商过程

中，未和认证服务器进行交互，且用户无需重登录。

思科的AC内快速漫游的最大延迟时间为50ms.

2、不同AC下AP之间的快速漫游：

不同AC下AP间漫游，采用IACTP技术实现。Inter Access Controller

Tunneling Protocol (IACTP) 是思科自主创新的私有协议，它提供了无线控制

器（AC）间的一种通用的封装和传输机制。IACTP使用标准TCP客户端/服务器

模型。

IACTP引入了漫游域的概念，漫游域是一个AC的集合，它定义了无线用户

可进行快速漫游的AC集。

IACTP提供控制通道用于快速漫游时AC间共享/交换信息，同时也提供了数

据通道用于对数据报文进行AC间的传输。

1) 预先配置的漫游域中包含AC1和AC2。AC1与AC2建立IACTP隧道；

2) 无线用户第一次关联到一个漫游域中的任意一个AC （如AC1，称此AC

为家乡Home-AC（HA）），并进行802.1X或MAC认证，和802.11Key协商。

3) AC1通过IACTP把用户信息诸如PMK， PMKID等同步到预先配置的漫游

域中所有AC中，此时为AC2。

4) 当无线用户漫游到漫游域中的其它AC时（AC2，称此AC为Foreign-AC

(FA)），无线用户向AC2下属的AP2发起认证和重关联请求（此时重关联请求中

16

携带无线用户与AP1协商出的PMK对应的PMKID；

5) AP2透传重认证请求报文到AC2上；

6) AC2通过AC1同步来的无线用户信息，检查发现此无线用户已经在AC1

（AP1）上进行认证，且通过PMKID成功查询得到对应PMK，表明此无线用户为

AC间漫游用户；

7) 重关联成功后，AC2直接通知无线用户使用原有的PMK进行四次握手

（4-Way handshake）协商，得到实际数据加密使用的PTK；

8) 无线用户与AP1解除关联，所有用户数据通过AC2（AP2）进行转发。

9) AC2对用户数据进行IACTP封装，通过IACTP数据通道转发到AC1。由于

所有数据最终仍然通过AC1进行处理，因此保证了用户IP不改变，用户业务的

不中断。

7.2.2电信级产品质量保证

思科自2003年公司成立以来就继承了业界领导厂商华为和3Com的WLAN产

品。整个无线产品的规划都是按照电信级设计，从阻容到主处理器芯片，每一个

元器件都经过严格质量认证和技术认证，严格选用一流供应商的元器件，保证元

器件的性能和品质。在产品生产上，思科公司采用业界先进的IPD CMM3.0集成

产品开发流程，有严格的质量管理体系，从全流程的每一个环节控制产品质量。

7.2.3强大的研发团队，自主知识产权，快速响应客户需求

思科的研发团队分布在北京、杭州、深圳和印度，海外研发中心紧跟前沿技

术脚步，国内研发中心快速响应客户需求。思科全系列WLAN产品采用完全自主

研发的软件，并采用了业界最为严格的测试标准，由位于北京的独立的鉴定测试

中心来最终鉴定产品能否达到质量标准。此外由于自主开发软件，完全掌握知识

产权，很容易根据客户的要求定制特殊功能，以满足特定情况下的应用。

7.2.4完善的服务体系

思科公司在全国建立了30个区域服务中心和区域备件系统，承诺为客户提

17

供专业、快捷、规范的服务，通过先进的通信技术与总部的技术服务平台连接，

完成客户档案、维护经验案例、备件库存、产品发布等信息的共享，形成覆盖全

国地市级城市，专职人员规模超过400人的技术服务体系。思科致力于通过高质

量的服务提高用户网络的可用性，提升用户满意度。

思科成立了备件中心（SPC，Spare Parts Center）专门支撑思科公司的售

后服务和向客户的承诺，依托遍布全国主要城市的30个区域备件库和位于杭州、

北京及深圳的3个分拨中心，建成了国际化、标准化、现代化的物流管理系统。

思科备件中心科学地进行备件仓储分析和管理，能够向客户提供高效的备件服务，

最大限度地保障客户网络的平稳运行。

7.2.5丰富的无线网络工程经验

无线网络的工程实施对整个项目的成败至关重要。思科专门成立了无线工程

督导团队来确保无线网络工程的顺利实施，目前思科公司已经成功实施了第六届

亚洲冬季运动会、北京解放军总医院、国家知识产权局、新华社、北京航空航天

大学、北京交通大学、华东理工大学、上海汤臣洲际大酒店等无线网络工程的部

署，具备丰富的无线项目实施工程经验，保证项目进度，后顾无忧。

7.2.6完善的网管解决方案

iMC网络管理软件是思科公司对公司全线数据通信设备实现统一管理和维护

的网管产品。产品采用灵活的组件化结构，支持与HP Openview、SNMPc等通用

网管平台的集成，与思科公司的数据通信设备产品一起为用户提供全网解决方案，

帮助客户真正实现网络的按需构建。不但能管理思科品牌的网络设备管理，同时

还提供了对第三方网络设备管理能力。

思科公司全系列的无线设备均可以向第三方提供原厂MIB库，为第三方网管

平台管理思科网络设备提供支持。

18

本文标签： 用户无线网络进行认证