无线网络技术方案
无线网络技术方案
无线网络技术工程
一、概述
1.2 无线局域网概述
无线局域网(WLAN )技术于20世纪90年代逐步成熟并投入商用,既可以作传统有线网络的延伸,在某些环境也可以替代传统的有线网络。对比传统的有线传输解决方案,使用WLAN 网络实现数据传输具有以下显著特点:
简易性:WLAN 网络传输系统的安装快速简单,可极大的减少敷设管道及布线等繁琐工作;
灵活性:无线技术使得WLAN 设备可以灵活的进行安装并调整位置,使无线网络达到有线网络不易覆盖的区域;
综合成本较低:一方面WLAN 网络减少了布线的费用,另一方面在需要频繁移动和变化的动态环境中,无线局域网技术可以更好地保护已有投资。同时,由于WLAN 技术本身就是面向数据通信领域的IP 传输技术,因此可直接通过百兆自适应网口和企业内部Intranet 相连,从体系结构上节省了协议转换器等相关设备;
扩展能力强:WLAN 网络系统支持多种拓扑结构及平滑扩容,可以十分容易
地从小容量传输系统平滑扩展为中等容量传输系统;
随着WLAN 技术的快速发展和不断成熟,目前在国内外已经具有较多的政府机构使用WLAN 技术布置无线城域网,进行承载部分政府业务,诸如:电子政备、消防、公安信息等等,如:美国费城、荷兰阿姆斯特丹等。
无线局域网技术经过十几年的发展,已经历了三代技术及产品的发展。
第一代无线局域网主要是采用Fat AP(即“胖”AP ),每一台AP 都要单独进行配置,费时、费力、费成本;
第二代无线局域网融入了无线网关功能但还是不能集中进行管理和配置,其管理性和安全性以及对有线网络的依赖成为了第一代和第二代WLAN 产品发展的瓶颈,由于这一代技术的AP 储存了大量的网络和安全的配置,包括加密的钥匙,Radius client的安全密码 (secret) 等,而AP 又是分散在建筑物中的各个位置,一旦AP 的配置被盗取读出并修改,其无线网络系统就失去了安全性。另外
由于AC 或无线网关的硬件多数是基于Pentium 架构的,所以当用户接入数量 (IP sessions) 增多时,无线网的性能会急剧下降,时常会发生掉线或死机情况。在这样的环境下,基于无线交换机技术的第三代WLAN 产品应运而生。
第三代无线局域网采用无线交换机和AP (即“瘦”AP )的架构,对传统WLAN 设备的功能做了重新划分,将密集型的无线网络和安全处理功能转移到集中的 WLAN 交换机中实现,同时加入了许多重要新功能,诸如无线网管、AP 间自适应、无线安管、RF 监测、无缝漫游以及Qos 。,使得无线局域网的网络性能、网络管理和安全管理能力得以大幅提高。
二、需求分析
总体目标是:
本工程具体的建设目标是:
1、采取通行的网络协议标准:目前无线局域网普遍采用802.11系列标准,因此无线局域网将主要支持802.11g (54M 带宽)标准以提供可供实际应用的相对稳定的网络通讯服务;
2、全面的无线网络支撑系统(包括无线网管、无线安全等),以避免无线设备及软件之间的不兼容性或网络管理的混乱而导致的问题;
3、保证网络访问的安全性,支持MAC 、Portal 或802.1x 安全认证方式; 工程布线和安装要求:
1、室内部分:定好较为开阔位置,将网线和电源线走暗线敷设到位;挂在墙上,可利用设备本身自带的安装附件进行安装;如果需要遮蔽,则需要定制非金属安装盒;如果是挂在天花板上,则根据天花板的情况而定,若天花板是非金属结构,可以固定在天花板内。安装过程中应充分考虑防盗问题。
2、供电部分:AP 的供电可采用POE 方式由接入的网络设备进行供电(也可进行本地供电)。
产品能力要求:
1、具有无委会核准证;
2、产品支持AES 、WEP 加密等安全标准;
3、漫游切换;
4、支撑QOS 能力
三、网络建设方案
结合WLAN 的实际应用和发展要求,无线局域网(WLAN)网络系统设计,主要遵循以下系统总体原则:
⏹ 实用性原则:以现行需求为基础,充分考虑发展的需要来确定系统规模。 ⏹ 安全性原则: WLAN网络是一个开放网络,需要对用户以及网络做到安全保障。
⏹ 可靠性原则:系统设计能有效的避免单点失败,在设备的选择和关键设备的互联时,应提供充分的冗余备份,一方面最大限度地减少故障的可能性,另一方面要保证网络能在最短时间内修复。
⏹ 成熟和先进性原则:需要及时将新技术引用进来,更好的开展业务,同时也要求保证网络与业务的可靠性。
⏹ 规范性原则:系统设计所采用的技术和设备应符合WLAN 国际标准、国家标准和联通WLAN 企业标准,为系统的扩展升级、与其他系统的互联提供良好的基础。
⏹ 开放性和标准化原则:在设计时,要求提供开放性好、标准化程度高的技术方案;设备的各种接口满足开放和标准化原则。
⏹ 可扩充和扩展化原则:所有系统设备不但满足当前需要,并在扩充模块后满足可预见将来需求,如带宽和设备的扩展,应用的扩展和办公地点的扩展等。保证建设完成后的系统在向新的技术升级时,能保护现有的投资。
⏹ 可管理性原则:整个系统的设备应易于管理,易于维护,操作简单,易学,易用,便于进行系统配置,在设备、安全性、数据流量、性能等方面得到很好的监视和控制,并可以进行远程管理和故障诊断。
3.1无线网络方案
3.1.1方案逻辑组网
采用无线接入点,支持802.11a 或802.11b/g协议;在部分楼层设无线控制
起来对ap 进行管理配置。
AP 组网最大的优点在于AP 本身零配置,AP 上电后会自动从无线控制器下载软件版本和配置文件,同时无线控制器会自动调节AP 的工作信道以及发射功率。另外,通过无线控制器的RF 扫描探测热点地区Rouge AP ,可以及时排除其他AP 存在的干扰,保障AP 的稳定运行。在网络管理方面,网管可以只通过管理无线控制器设备就可以达到控制AP 的效果,极大的减少了无线网络后期维护和管理的工作量。
使用无线控制器+AP时,AP 在启动后会自动通过DHCP 方式获取IP 地址,并自动搜寻可关联的无线控制器,在和无线控制器建立CAPWAP 隧道之后会自动从无线控制器下载配置文件和更新软件版本。
在AP 的接入方面,思科拥有智能射频管理,当某一个AP 出现故障时,周围的其他AP 会自动调整功率,对该部分区域进行重新的信号覆盖,保证信号的良好覆盖。而当有非法AP 进入无线网络造成信号干扰时,思科只能射频管理系统可以定位出该AP 的位置,以便及时加以排除。
无线控制器可以设定AP 间对接入用户进行负载分担,当无线控制器发现AP 的负载超过设定的门限值以后,对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的AP 可供用户接入,如果有则AP 会拒绝用户的关联请求,用户会转而接入其他负载较轻的AP 。如图所示。
思科公司创新性地支持智能负载均衡技术,保证只对处于AP 覆盖重叠区的无线用户才启动AP 负载均衡功能,有效的避免误均衡的出现。
思科 AP方案还支持无线入侵检测。当有第三方的AP 仿冒SSID 时,无线控制器会通过AP 的反馈,迅速得到相应的信息,并上报网管,采取相应的信息。管理员还可以对该设备发起攻击,使该第三方设备无法连接上相应的用户。
3.1.2频率规划与负载均衡:
频率规划
802.11g 使用开放的2.4GHz ISM频段,可工作的信道数为欧洲标准信道数13个。由于其支持直序扩频技术造成相邻频点之间存在重叠。对于真正相互不
重叠信道只有相隔5个信道的工作中心频点。因此对于802.11g 在2.4GHz 地工作频段,理论上只能进行三信道的蜂窝规划实现对需要规划的热点的无缝覆盖。此外,由于功率模板是否能做到符合邻道、隔道不干扰也非常影响频率规划的效果。
针对如何进行802.11g 的频率规划作了大量的实验,实验证明3载频也可以实现蜂窝对需要覆盖的区域进行无缝覆盖,并提供更高的服务带宽提高服务质量,和高带宽业务的开展。`
频率规划需要配合使用的功能包括:
1、AP 支持13个信道设置
2、AP 支持100mW 最大射频功率以及多级功率控制
3、AP 支持外置天线以及定向天线
4、针对特殊应用还需要AP 支持桥接功能、接入功能以及WDS 功能
频率复用和负载均衡
针对频率复用的设计与实现主要侧重于重叠区域,考虑到802.11技术中目前业界主要采用DCF 的仲裁,这样会导致从网络实施的角度出发,没有办法做到像GSM 、3G 网络的控制力度,从技术原理的角度出发,没有办法实现很好的频率复用,只能被动做些负载均衡的功能。每个AP 具有54Mbps 、48Mbps 、36Mbps 、18Mbps 等的覆盖范围,对于54Mbps 的覆盖范围不重叠,对于54Mbps 与18Mbps 就可能进行重叠,可以根据网络侧的负载功能进行实现一定程度的频率复用功能,从网络规划的角度出发,WLAN 基本上、下行无线链路复用的处理问题,因为目前都是DCF 方式,而从只能结合业务目标实现网络覆盖效果,具体网络使用效果使用负载均衡功能进行实现。
负载均衡的功能实现具体原理如下:
1. 根据负载均衡的配置确定负载均衡的模式、SSID 、其他参与负载均衡的AP 的标识、用户数或流量的阀值等进行一定的初始化;
2.
3. 确定本AP 的2个射频模块连接的STA 用户数量和流量; 通过UDP 协议以私有方式定时进行AP 间通讯。先进行握手,成功后才进行数据的交换,获取参与负载均衡的AP 的负载信息。
4. 当有STA 要接入时,根据其工作频率,比较本AP 上该射频下的负载和其他AP 的指定SSID 下的用户数或流量,以及负载均衡的SSID 绑定接口的速率集,决定STA 能否接入。同时要注意到若用户数已达到AP 某个SSID 的最大用户数,则该AP 的SSID 不允许再接入STA ;
容量规划
从业界实现的DCF 方式来看,没有一个最大用户数的限制,但业界各个厂商进行实现时都基于一定理解的前提下进行默认限制,思科目前每个AP 最大的用户默认限制为64个用户,并可以根据实际情况更改每个AP 限制接入的用户数。根据多年的WLAN 部署经验,思科建议,从网络规划的角度出发,按照每个AP 覆盖20用户进行部署,可以保证用户的接入质量和正常需求下的网络吞吐量。
3.1.3网络管理
思科使用WSM 无线业务管理器应能对无线网络中的AP 、AC 等设备作到统一
管理。WSM 无线业务管理器依托iMC 智能管理平台,实现有线无线一体化的管理,在iMC 系统全面的有线网络管理的基础上,为用户提供无线网络管理能力。用户无需重新搭建IT 管理平台,即可在原有的有线网络管理系统中增加无线管理功能,与有线管理平台统一部署,节省用户投入,节约维护成本。
iMC 智能管理中心采用分布式、组件化、跨平台的开放体系结构。通过选择安装WSM 无线业务管理器,用户可以获得全面的无线业务管理能力,实现AC 设备、FAT AP设备、AP 设备、移动终端等无线设备的集中管理,轻松实现设备配置管理功能,并提供资源分组、无线拓扑功能,对全网无线设备进行直观有效的组织,对网络部署和设备状态一目了然,策略模板等功能实现网络和设备的批量配置,提升效率,降低维护工作量,降低维护成本。基于Web 的管理系统,为无线业务管理者提供了简便、友好的管理平台。
与iMC 智能管理平台及其它组件配合,还可实现无线设备的面板管理、故障管理、性能监控、软件版本管理、配置文件管理、接入用户管理、用户认证管理等功能,并可对网络中的其它设备进行统一管理,真正实现有线无线一体化管理。
另外,思科的所有设备均内置WEB 网管,可以满足对SNMP 要求不高的应用场景。
3.1.4供电问题
由于本次无线网中AP 设备数量不是很多,可以通过采用本地电源进行供电。
3.2覆盖解决方案
无线信号强度和传输距离的换算公式
AP 加卡的信号总强度公式:
Gt -Gr +AP 天线增益+终端天线增益=L 信号总强度(dB )
Gt (AP 或终端功率,单位dB ),Gr (终端或AP 灵敏度,单位dB )
距离产生的信号衰减公式:
40+20lgd =L1(dB ) d(距离,单位m )
工程中最大传输距离以45m 计算,所以L1=72dB
障碍物的衰减:
工程中实际的障碍物的最大衰减是临窗墙的衰减3dB 加上房间墙的衰减
12dB 等于15dB 。
本次无线覆盖办公楼主要办公区域进行无线覆盖。粗略估计需要105台AP ,可以做到用户要求的全区域覆盖;根据楼宇的具体结构可以采用两种AP 的安装方式,直接壁挂安装和AP 放置于天花板的方式安装;
以上方案中所列AP 及配件数量均为预估值,可能根据具体情况进行调整。
四、基于802.1x 的客户端快速部署技术(二期扩容可考虑)
网络的终端安全问题由来已久,但是由于终端的数目众多,部署管理软件客户端的工作量太大,给解决终端安全问题造成了巨大障碍。为解决客户在部署客户端方面遇到的工作量问题,思科公司在EAD 客户端中集成了快速部署技术,不需要管理员干预就可以自动下发客户端,解决了客户端部署的难题。
如果终端设备没有安装iNode 智能客户端,认证成功之前(包括认证失败)终端用户只能访问一个特定的隔离区或是某一个(或几个)服务器。当用户在IE 中输入网站地址试图访问外部网站时,交换机会将用户访问的URL 重定向到设置好的URL (例如iNode 智能客户端下载界面),这样用户一打开IE 就必须进入管理员预设的界面。在预设界面会提供客户端和其他必须安装的软件链接供用户安装,用户正确安装iNode 智能客户端后进行认证,如果身份认证和安全认证顺利通过,访问限制将被取消,用户获得正常的访问权限。
EAD 快速部署提供了一个全新的特性,该特性为IT 管理员和终端用户进行iNode 智能客户端软件的快速部署提供了极大的方便,有力的提高了EAD 解决方案的易部署性。
Windows 域统一认证技术
很多单位已经建立了基于Windows 域的信息管理系统,通过Windows 域管理用户访问权限和应用执行权限。然而,基于Windows 的权限控制只能作用到应用层,而无法实现对用户的物理访问权限的控制,比如对网络接入权限的控制,非法用户可随意接入用户网络,这就给网络应用安全带来很多隐患。为了更加有效地控制和管理网络资源,提高网络接入的安全性,很多网络的管理者希望通过802.1x 认证实现对接入用户的身份识别和权限控制。
但是,将802.1x 接入认证与域认证结合以加强网络安全的方案在具体的实施过程中却遇到以下问题:
1、Windows 域登录认证要求用户必须首先接入网络,建立用户与域控制器间的网络连接,然后才可以登录并进入桌面。而一般的802.1x 认证需要用户首先进入桌面,然后才可以进行网络接入认证、建立网络连接。两种认证之间的时序依赖关系产生了明显的矛盾,导致使用802.1x 进行网络接入认证的用户无法登录到Windows 域。
2、Windows 域与802.1x 认证服务器各自拥有专用的用户身份识别和权限控制信息,造成用户接入网络和登录Windows 域时需要使用两套用户名和密码,给用户的使用带来不少操作上的麻烦。
如何解决目前Windows 域登录与802.1x 认证的矛盾,融合网络中802.1x 接入认证与Windows 域认证,全面简化用户操作,实现网络接入与Windows 域的单点登录,是目前许多IT 管理员迫切需要解决的问题。
通过对802.1x 认证流程和Windows 域登录流程的深入研究,思科公司提出了Windows 域与802.1x 统一认证方案,平滑地解决了两种认证流程之间的矛盾,避免了用户二次认证的烦琐。该方案的关键在于两个“同步”过程:
同步域用户与802.1x 接入用户的身份信息(用户名、密码),EAD 解决方案使用LDAP 功能实现用户和Windows 域用户信息的同步。
同步域登录与802.1x 认证流程,EAD 解决方案通过思科自主开发的iNode 智能客户端实现认证流程的同步。
在应用思科 的Windows 域与802.1x 统一认证方案后,用户网络的安全性极
大增强。具体来说,实现Windows 域与802.1x 统一认证可为用户网络带来以下优点:
增强了网络接入的安全性,有效杜绝非法用户接入,实现对非法用户的物理隔离;
增强了Windows 域的安全性,用户必须通过802.1x 认证才能访问并登录到Windows 域中,提高了域内应用资源的安全性;
解决了Windows 域登录与802.1x 不能兼容的矛盾;
透明的统一认证流程,与通常的域认证过程完全一致,无需额外培训;
实现了网络接入与Windows 域的单点登录,方便用户的使用与操作,减少用户同时记忆两套用户名与密码的繁琐;
实现用户密码的统一、集中维护(由域控制器维护),提高了用户密码保护的安全性,方便用户修改密码。
五、产品配置方案
本项目建议采用思科无线控制器,形成“AP + 无线控制器”的组网模式。WA2210-AG 无线接入点支持802.11a/b/g标准,负责无线用户的接入,并保证用户接入的信号质量;WX3010对所有的AP 进行管理与智能控制,保证用户能够安全、稳定、高带宽的接入到Internet ,并能为无线用户进行认证、鉴权,使无线网络管理维护更简单。
七.思科方案的特点与优势
7.1 思科 AP方案的特点
7.1.1 智能射频管理
每个AP 上电时,无线控制器会根据AP 的邻居关系动态调整AP 工作的信道和发射功率,在保证覆盖的前提下保证AP 间的干扰最小。
当AP 覆盖区域受到外界强信号干扰时,无线控制器会控制AP 自动切换到合适的工作信道以规避干扰信号。
当覆盖区域内的某个AP 发生故障而造成覆盖黑洞时,无线控制器会自动调整相邻的AP 的发射功率以消除黑洞区域,当故障AP 恢复工作后无线控制器可以自动调整邻居AP 的发射功率恢复原始工作状态。
7.1.2 智能负载均衡
无线控制器可以设定AP 间对接入用户进行负载分担,负载分担的策略可以是基于AP 接入的用户数量,AP 流量负载情况
当无线控制器发现AP 的负载超过设定的门限值以后,对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的AP 可供用户接入,如果有则AP 会拒绝用户的关联请求,用户会转而接入其他负载较轻的AP 。
思科公司创新性地支持智能负载均衡技术,保证只对处于AP 覆盖重叠区的无线用户才启动AP 负载均衡功能,有效的避免误均衡的出现。
7.1.4 支持无线入侵检测系统(WIDS)
思科 WLAN解决方案支持无线入侵检测系统(WIDS),WIDS 工作原理如下:
A. 无线控制器可以指定AP 工作在两种工作模式:模式一、AP 负责监听空口所有信道的信息,但不负责用户报文的转发。模式二、AP 在为用户转发数据的同时定期切换到其他信道监听信息, AP设备负责把监听到的无线设备和有攻击行为的无线设备上报给无线控制器
B. 无线控制器根据AP 上报的设备信息识别非法设备
C. 无线控制器通过各种途径提供各种声、光、电的报警
D. 当有用户试图连接到非法的AP 上时,用户会发起‘关联请求’,无线控制器通过AP 收到这个请求时,指挥周边的AP 发‘解除关联’的指令,确保用户不会连接到非法AP 。
7.1.5 Portal认证支持
Portal 认证又称为强制WEB 认证,以其新业务支撑能力强大、无需安装客户软件、与组网设备无关等特点,受到越来越多用户的欢迎。Portal 认证业务
可以为管理者提供方便的管理功能,如要求所有的用户都到门户网站去认证,门户网站可以开展广告、信息服务、个性化的业务等,为信息传播提供一个良好的载体。
Portal 认证原理
Portal 认证协议主要应用于思科公司提出的基于 WEB 的宽带接入认证系统中,完成用户的认证和授权。整个 Portal 认证过程涉及到了Portal 页面,WX3010 和 iMC 服务器。
Portal 认证工作原理:未认证用户在访问网络时,可以直接访问为用户免费开放的资源,当用户要使用网络中的收费资源时,设备会将用户的http 请求重定向到Portal 门户网站,用户必须在门户网站进行认证,只有认证通过后才可以访问这些资源。Portal 认证的工作流程如下图所示:
认证流程:
用户通过IE 访问需要授权的网络资源,设备发现用户还没有通过认证则强制到Portal ,Portal Server将WEB 页面强推给用户,提示用户需要进行认证。
用户在WEB 页面中输入用户名密码并提交认证,Portal Server将认证信息发送给设备,设备将用户信息转换为Radius 报文发送到iMC 服务器进行认证。
iMC 服务器对用户信息进行验证,确认无误后,下发认证通过报文以及相应的权限控制信息给设备,设备放开用户的上网权限,同时iMC 服务器开始进行计费。
上网期间,用户PC 和Portal Server定时发送心跳报文交互,以确保用户没有因异常原因下线。
用户下线时,Portal Server收到用户下线请求并通知设备,iMC 服务器终止计费并通知设备断开用户。
7.1.6 多业务的安全性
思科 AP解决方案提供多种业务不同网络层面的安全保障,体现在:
7.1.7 IPV6
为了适应下一代IP 网络的部署要求,思科公司的AP 能够同时满足IPv4和IPv6两种不同网络的组网要求(图示),为了简化用户配置这种适应能力不需要用户配置干预而是自适应调整。
无线控制器
IPv4/IPv6网络
AP
IPv4/IPv6 用户
作为AP 的缺省发现方式AP 会首先作为IPv4节点发起无线控制器发现过程,当发现过程失败以后,AP 会切换到IPv6节点方式继续无线控制器发现过程。 AP会在以下两种情况下切换到IPv6模式:
AP 无法从DHCP server获取到IPv4网络地址
AP 在IPv4网络没有无线控制器响应AP 的发现请求
AP 在IPv4网络中和所有的无线控制器建立连接失败
7.1.8 AP间无线漫游
思科无线漫游解决方案支持同一AC 下AP 之间,不同AC 下AP 之间的无缝快速漫游,保证无线客户端在一个子网内部,从一个AP 的覆盖范围移动到另一个AP 的覆盖范围时,通信不中断,用户无需重新登录和认证。
AP1与AP2分别与AC 建立CAPWAP 隧道;
无线用户与AP1进行关联,接入网络;AP 会将用户的报文封装在隧道中送给AC 处理;
当无线用户从AP1往AP2方向移动时,无线用户向AP2发起认证和重关联请求(此时重关联请求中携带无线用户与AP1协商出的PMK 对应的PMKID ;
AP2透传重认证请求报文到AC 上;
AC 检查发现此无线用户已经在AP1上进行认证,且通过PMKID 成功查询得到对应PMK ,表明此无线用户为漫游用户;
重关联成功后,AC 直接通知无线用户使用原有的PMK 进行四次握手(4-Way handshake )协商,得到实际数据加密使用的PTK 。
无线用户与AP1解除关联,所有用户数据通过AP2进行转发。整个协商过程中,未和认证服务器进行交互,且用户无需重登录。
思科的AC 内快速漫游的最大延迟时间为50ms.
2、不同AC 下AP 之间的快速漫游:
不同AC 下AP 间漫游,采用IACTP 技术实现。Inter Access Controller Tunneling Protocol (IACTP) 是思科自主创新的私有协议,它提供了无线控制器(AC )间的一种通用的封装和传输机制。IACTP 使用标准TCP 客户端/服务器模型。
IACTP 引入了漫游域的概念,漫游域是一个AC 的集合,它定义了无线用户可进行快速漫游的AC 集。
IACTP 提供控制通道用于快速漫游时AC 间共享/交换信息,同时也提供了数据通道用于对数据报文进行AC 间的传输。
1) 预先配置的漫游域中包含AC1和AC2。AC1与AC2建立IACTP 隧道;
2) 无线用户第一次关联到一个漫游域中的任意一个AC (如AC1,称此AC 为家乡Home-AC (HA )),并进行802.1X 或MAC 认证,和802.11Key 协商。
3) AC1通过IACTP 把用户信息诸如PMK , PMKID等同步到预先配置的漫游域中所有AC 中,此时为AC2。
4) 当无线用户漫游到漫游域中的其它AC 时(AC2,称此AC 为Foreign-AC (FA)),无线用户向AC2下属的AP2发起认证和重关联请求(此时重关联请求中
携带无线用户与AP1协商出的PMK 对应的PMKID ;
5) AP2透传重认证请求报文到AC2上;
6) AC2通过AC1同步来的无线用户信息,检查发现此无线用户已经在AC1(AP1)上进行认证,且通过PMKID 成功查询得到对应PMK ,表明此无线用户为AC 间漫游用户;
7) 重关联成功后,AC2直接通知无线用户使用原有的PMK 进行四次握手(4-Way handshake)协商,得到实际数据加密使用的PTK ;
8) 无线用户与AP1解除关联,所有用户数据通过AC2(AP2)进行转发。
9) AC2对用户数据进行IACTP 封装,通过IACTP 数据通道转发到AC1。由于所有数据最终仍然通过AC1进行处理,因此保证了用户IP 不改变,用户业务的不中断。
7.2.2电信级产品质量保证
思科自2003年公司成立以来就继承了业界领导厂商华为和3Com 的WLAN 产品。整个无线产品的规划都是按照电信级设计,从阻容到主处理器芯片,每一个元器件都经过严格质量认证和技术认证,严格选用一流供应商的元器件,保证元器件的性能和品质。在产品生产上,思科公司采用业界先进的IPD CMM3.0集成产品开发流程,有严格的质量管理体系,从全流程的每一个环节控制产品质量。
7.2.3强大的研发团队,自主知识产权,快速响应客户需求
思科的研发团队分布在北京、杭州、深圳和印度,海外研发中心紧跟前沿技术脚步,国内研发中心快速响应客户需求。思科全系列WLAN 产品采用完全自主研发的软件,并采用了业界最为严格的测试标准,由位于北京的独立的鉴定测试中心来最终鉴定产品能否达到质量标准。此外由于自主开发软件,完全掌握知识产权,很容易根据客户的要求定制特殊功能,以满足特定情况下的应用。
7.2.4完善的服务体系
思科公司在全国建立了30个区域服务中心和区域备件系统,承诺为客户提
供专业、快捷、规范的服务,通过先进的通信技术与总部的技术服务平台连接,完成客户档案、维护经验案例、备件库存、产品发布等信息的共享,形成覆盖全国地市级城市,专职人员规模超过400人的技术服务体系。思科致力于通过高质量的服务提高用户网络的可用性,提升用户满意度。
思科成立了备件中心(SPC ,Spare Parts Center)专门支撑思科公司的售后服务和向客户的承诺,依托遍布全国主要城市的30个区域备件库和位于杭州、北京及深圳的3个分拨中心,建成了国际化、标准化、现代化的物流管理系统。思科备件中心科学地进行备件仓储分析和管理,能够向客户提供高效的备件服务,最大限度地保障客户网络的平稳运行。
7.2.5丰富的无线网络工程经验
无线网络的工程实施对整个项目的成败至关重要。思科专门成立了无线工程督导团队来确保无线网络工程的顺利实施,目前思科公司已经成功实施了第六届亚洲冬季运动会、北京解放军总医院、国家知识产权局、新华社、北京航空航天大学、北京交通大学、华东理工大学、上海汤臣洲际大酒店等无线网络工程的部署,具备丰富的无线项目实施工程经验,保证项目进度,后顾无忧。
7.2.6完善的网管解决方案
iMC 网络管理软件是思科公司对公司全线数据通信设备实现统一管理和维护的网管产品。产品采用灵活的组件化结构,支持与HP Openview、SNMPc 等通用网管平台的集成,与思科公司的数据通信设备产品一起为用户提供全网解决方案,帮助客户真正实现网络的按需构建。不但能管理思科品牌的网络设备管理,同时还提供了对第三方网络设备管理能力。
思科公司全系列的无线设备均可以向第三方提供原厂MIB 库,为第三方网管平台管理思科网络设备提供支持。