无线网络技术方案

可以为管理者提供方便的管理功能，如要求所有的用户都到门户网站去认证，门户网站可以开展广告、信息服务、个性化的业务等，为信息传播提供一个良好的载体。

Portal认证原理

Portal 认证协议主要应用于思科公司提出的基于 WEB 的宽带接入认证系统中，完成用户的认证和授权。整个 Portal 认证过程涉及到了Portal 页面，WX3010 和 iMC 服务器。

Portal认证工作原理：未认证用户在访问网络时，可以直接访问为用户免费开放的资源，当用户要使用网络中的收费资源时，设备会将用户的http请求重定向到Portal门户网站，用户必须在门户网站进行认证，只有认证通过后才可以访问这些资源。Portal认证的工作流程如下图所示：

认证流程：

用户通过IE访问需要授权的网络资源，设备发现用户还没有通过认证则强制到Portal，Portal Server将WEB页面强推给用户，提示用户需要进行认证。

用户在WEB页面中输入用户名密码并提交认证，Portal Server将认证信息发送给设备，设备将用户信息转换为Radius报文发送到iMC服务器进行认证。

iMC服务器对用户信息进行验证，确认无误后，下发认证通过报文以及相应的权限控制信息给设备，设备放开用户的上网权限，同时iMC服务器开始进行计费。

上网期间，用户PC和Portal Server定时发送心跳报文交互，以确保用户没有因异常原因下线。

用户下线时，Portal Server收到用户下线请求并通知设备，iMC服务器终止计费并通知设备断开用户。

7.1.6 多业务的安全性

思科 AP解决方案提供多种业务不同网络层面的安全保障，体现在： 层次体系 主要技术 解决的问题

13

WEP64/128、TKIP、CCMP加密 物理接入 SSID隐藏 802.1x/PSK/MAC/Portal多种认证方式的混合接入 802.1x支持逻辑链PEAP/TLS/TTLS/SIM多种模式 路 可升级支持WAPI认证 动态下发用户的权限 Hotspot用户隔离 黑名单 无线入侵检测系统 安全策略在无线控制器统一部署 网络 AC和AP间的CAPWAP隧道下行流量限速 IPSEC VPN 资源绑写（MAC、ESS、VLAN、Port） AP本地不再保存配置信息 入 可升级支持WAPI加密 防止无线报文被监听和篡改 解决不明用户访问网络 用户身份鉴别和安全准业务隔离 限制用户互访 限制恶意用户 非法设备的检测、无线攻击的告警和规避 避免在大量的无线接入点部署策略 防范外界对AP的数据流量攻击 端到端的安全加密 尽可能防止假冒 避免设备丢失造成配置泄漏 只有合法的AP才能和无线控制器建立关联 无线控制器down机不会造成无线网络的瘫痪 无线安全策略的统一部署 非法设备的检测、无线攻

设备 AP身份认证 AP支持多无线控制器的冗余备份 无线安全策略配置 网管 非法设备监控和告警 14

击的告警和规避 设备信道调整告警 了解设备遭受干扰后的信道调整情况 7.1.7 IPV6

为了适应下一代IP网络的部署要求，思科公司的AP能够同时满足IPv4和IPv6两种不同网络的组网要求（图示），为了简化用户配置这种适应能力不需要用户配置干预而是自适应调整。

无线控制器IPv4/IPv6网络APIPv4/IPv6 用户

作为AP的缺省发现方式AP会首先作为IPv4节点发起无线控制器发现过程，当发现过程失败以后，AP会切换到IPv6节点方式继续无线控制器发现过程。 AP会在以下两种情况下切换到IPv6模式：

? AP无法从DHCP server获取到IPv4网络地址 ? AP在IPv4网络没有无线控制器响应AP的发现请求 ? AP在IPv4网络中和所有的无线控制器建立连接失败 7.1.8 AP间无线漫游

思科无线漫游解决方案支持同一AC下AP之间，不同AC下AP之间的无缝快速漫游，保证无线客户端在一个子网内部，从一个AP的覆盖范围移动到另一个AP的覆盖范围时，通信不中断，用户无需重新登录和认证。

AP1与AP2分别与AC建立CAPWAP隧道；

15

无线用户与AP1进行关联，接入网络；AP会将用户的报文封装在隧道中送给AC处理；

当无线用户从AP1往AP2方向移动时，无线用户向AP2发起认证和重关联请求（此时重关联请求中携带无线用户与AP1协商出的PMK对应的PMKID；

AP2透传重认证请求报文到AC上；

AC检查发现此无线用户已经在AP1上进行认证，且通过PMKID成功查询得到对应PMK，表明此无线用户为漫游用户；

重关联成功后，AC直接通知无线用户使用原有的PMK进行四次握手（4-Way handshake）协商，得到实际数据加密使用的PTK。

无线用户与AP1解除关联，所有用户数据通过AP2进行转发。整个协商过程中，未和认证服务器进行交互，且用户无需重登录。

思科的AC内快速漫游的最大延迟时间为50ms. 2、不同AC下AP之间的快速漫游：

不同AC下AP间漫游，采用IACTP技术实现。Inter Access Controller Tunneling Protocol (IACTP) 是思科自主创新的私有协议，它提供了无线控制器（AC）间的一种通用的封装和传输机制。IACTP使用标准TCP客户端/服务器模型。

IACTP引入了漫游域的概念，漫游域是一个AC的集合，它定义了无线用户可进行快速漫游的AC集。

IACTP提供控制通道用于快速漫游时AC间共享/交换信息，同时也提供了数据通道用于对数据报文进行AC间的传输。

1) 预先配置的漫游域中包含AC1和AC2。AC1与AC2建立IACTP隧道； 2) 无线用户第一次关联到一个漫游域中的任意一个AC （如AC1，称此AC为家乡Home-AC（HA）），并进行802.1X或MAC认证，和802.11Key协商。

3) AC1通过IACTP把用户信息诸如PMK， PMKID等同步到预先配置的漫游域中所有AC中，此时为AC2。

4) 当无线用户漫游到漫游域中的其它AC时（AC2，称此AC为Foreign-AC (FA)），无线用户向AC2下属的AP2发起认证和重关联请求（此时重关联请求中

16