提供對802.11ac WAVE 2 AP的管理
WX3000H系列無線控制器在支持對傳統802.11a/b/g/n/ac AP管理的同時,還可以與H3C基于802.11ac wave 2協議的AP配合組網,從而突破傳統無線網絡串行通信的機制,促使無線頻譜資源利用率成倍提升,有效接入用戶數得到了極大的提高,有效減少無線網絡的部署開銷,極大提升了高密度用戶環境下的用戶體驗。
基于全新的操作系統
WX3000H系列無線控制器采用H3C新一代V7系統開發,新的操作系統極大提升產品的性能和可靠性,能夠滿足企業市場上越來越復雜的網絡應用,相比上一代操作系統,V7系統具有多方面的優勢:
l 多核控制:在V7系統中可以根據需要調整CPU控制核和轉發核的分配比例,可根據需求達到一個最佳平衡,能夠充分提升CPU的控制計算及數據計算的能力,同時提供強大的并發計算能力。
l 支持用戶態多任務:V7系統采用全新的軟件運行權限控制方式,絕大多數網絡業務都運行在用戶態,不同網絡業務占用不同的任務,每個任務占用獨立的資源,某一任務運行錯誤只局限在本任務之內,不影響其他任務,使系統能夠保持安全可靠地運行。
l 用戶態任務監控:V7系統具有任務監控功能,系統專門監控用戶態的各個任務的運行情況,如果用戶態任務出現異常情況,系統會重載該任務,使業務能夠迅速恢復。
l 采用新的單獨業務升級的方式:V7系統支持單獨的業務升級,只升級單獨的某個業務模塊而不需更新整個軟件,相對公司前一代操作系統,可大大減少重啟升級的次數,保證升級的安全性,有效提供網絡穩定性。
提供高密端口接入
WX3000H系列無線控制器在對外接口提供了高密的端口接入,以支持更好的有線無線一體化接入(包括用戶接入,用戶認證,計費等的管理,有線無線用戶統一管理),根據款型對外提供的不同的業務接口,以滿足不同市場的要求。產品通過提供高密端口及多種端口類型,能滿足用戶靈活組網和網絡接入。
WX3010H,對外提供8個GE 口、2個GE Combo口和2個1000BASE-X-SFP口,其中8個GE口可支持PoE+供電;
WX3024H,對外提供24個GE 口、2個GE Combo口和2個10GBASE-R-SFP+口,其中24個GE口可支持PoE+供電;
用戶可根據設備提供對外的接口及處理性能靈活的選擇產品。
支持分層AC架構
分層AC架構是H3C創新提出的針對市場上多級組網需求的全新組網模型,分層AC采用類似大型連鎖企業機構集中控制分級管理的架構方式,由一個總的核心層管理AC下掛多個本地接入層AC,接入層AC直接下掛AP。接入層AC主要功能包括AP接入和數據轉發等實時性業務,核心層AC主要做網絡的管理控制和集中認證等非實時性全局業務,另外核心層AC也具有普通AC的接入AP及數據轉發功能。核心層AC為高性能AC,布置在匯聚層;而接入層AC可以由標準AC、All-in-one AC(具備路由、DPI功能)或有線無線一體化交換機組成,跟現有網絡平級布置;分層AC的這種架構模型將有線無線一體化理念推向新的高度,能夠適用于大規模無線網絡部署。分層AC模型天然支持總部和分支的應用場景,核心鏈路帶寬和核心層AC轉發能力不再成為瓶頸,核心層AC集中控制,接入層AC和下掛AP能夠很方便的實現自動升級和配置同步,極大地簡化了版本升級工作。在漫游場景,接入層AC負責AP間切換,漫游性能也得到極大提升。
支持丘比特定位
WX3000H系列支持CUPID方式進行無線定位,因為準確度高,也稱為丘比特定位系統。丘比特定位系統采用了類似于雷達探測的原理,AP主動給客戶端發送探測報文,通過計算發送報文和響應報文的時間差來計算客戶端的位置。
分類
|
分類描述
|
CUPID
|
指紋定位法
|
障礙物
|
移動的人群的身體遮擋
|
基本無影響?;陔姶挪▊鬏敃r間
|
有影響。信號強度衰減較大
|
多徑環境
|
室內環境,信號經過反射、直射多種路徑到達,RSSI的波動幅度大
|
無影響
|
有很大影響
|
工程量
|
現場勘查、信號特征調查等
|
較小
|
較大。需要人工采集指紋特征數據庫
|
精度
|
同樣部署密度情況下的定位準確度
|
可以到2米的精度
|
5米~15米,一般在10米
|
穩定性
|
定位引擎輸出的坐標,在真實環境下受多種因素的干擾下的穩定性
|
基于直射路徑的傳輸時間,輸出較穩定
|
受障礙物、多徑效應、部署密度、環境改變等因素,定位結果波動的較大
|
支持運營級無線用戶接入控制和管理
基于用戶的接入控制是WX3000H系列無線控制器產品的一大特色,User Profile(用戶配置文件)提供一個配置模板,能夠保存預設配置(一系列配置的集合)。用戶可以根據不同的應用場景為User Profile配置不同的內容,比如CAR(Committed Access Rate,承諾訪問速率)策略和QoS(Quality of Service,服務質量)策略等。
用戶訪問設備時,需要先進行身份認證。在認證過程中,認證服務器會將User Profile名稱下發給設備,設備會立即啟用User Profile里配置的具體內容。當用戶通過認證訪問設備時,設備將通過這些具體內容限制用戶的訪問行為。當用戶下線時,系統會自動禁用User Profile下的配置項,從而取消User Profile對用戶的限定。因此,User Profile適用于限制上線用戶的訪問行為,沒有用戶上線(可能是沒有用戶接入、或者用戶沒有通過認證、或者用戶下線)時,User Profile是預設配置,并不生效。
另外,WX3000H系列無線控制器還支持基于MAC的認證接入控制方式,這種方式不但可以使得客戶在AAA服務器上對用戶組進行權限的配置和修改,同時支持對具體用戶的權限的配置,這種精細的用戶權限控制大大增強了無線網絡的可用度,網管人員可以輕松通過該方式對不同級別的人或人群進行接入權限分配。
基于MAC的VLAN同樣也是WX3000H系列無線控制器的一大特色,在控制策略上,管理員可以把相同性質的用戶(MAC)劃分到同一個VLAN,同時在控制器上基于VLAN配置安全策略,這樣做既可以簡化系統配置,又可以做到用戶級粒度的精細管理。
出于安全性或計費等考慮,系統管理員可能希望控制無線用戶接入到網絡中的位置。WX3000H系列無線控制器支持基于AP位置的用戶接入控制。當無線用戶接入網絡時,可以通過認證服務器向AC下發允許用戶接入的AP列表,在AC上進行接入控制,從而達到限制無線用戶只能接入到指定位置的AP的目的。
支持信道智能切換
無線局域網中,信道是非常稀缺的資源,每個AP只能夠工作在非常有限的非重疊信道上,比如對于2.4G網絡,只有3個非重疊信道,所以如何智能地為AP分配信道是無線應用的關鍵。
無線局域網工作的頻段存在大量可能的干擾源,如雷達、微波爐,它們在網絡中的出現將干擾AP的正常工作。通過信道智能切換功能,可以保證每個AP能夠分配到最優的信道,盡可能地減少和避免相鄰信道干擾,而且通過實時信道干擾檢測,可以讓AP實時避開雷達,微波爐等干擾源。
支持智能AP負載分擔
802.11協議把無線漫游的決策交給了無線客戶端,無線客戶端一般會根據AP信號強度(RSSI)選擇AP,這很容易導致大量的客戶端僅僅因為某個AP信號較強而連接到同一個AP上。由于這些客戶端共享無線媒介,導致每個客戶端的網絡吞吐將大量減少。
智能負載分擔方法可以實時地分析無線客戶端的位置,動態地確定在當前時刻和當前位置下哪些AP可以彼此分擔負載,通過控制無線客戶端接入的AP,來實現這些AP間的負載分擔。系統不僅支持按照用戶在線會話數的負載分擔,而且支持按照用戶流量負載的分擔。
支持7層移動安全檢測/防御(wIDS/wIPS)
WX3000H系列無線控制器支持的移動安全防御模式有:黑名單、白名單、Rogue防御、畸形報文檢測、非法用戶下線、基于可預設升級的Signature MAC層攻擊檢測與反制(例如:DoS攻擊,Flood攻擊、中間人攻擊)等。配合無線應用控制臺內置的海量智能專家知識庫,可以獲得靈活的無線安全策略判斷依據,對于明確的非法攻擊源(AP或終端等),實現可視的物理位置跟蹤監控和交換機物理端口移除。
通過配合H3C專業核心層防火墻/IPS設備,更可以實現移動園區的7層立體安全防御,滿足真正的從無線(802.11)到有線(802.3)端到端安全防護需求。
支持802.1x認證,MAC地址認證,Portal認證等
WX3000H系列無線控制器支持多種認證方式:
802.1x認證:WX3000H-L系列無線控制器支持TLS、PEAP、TTLS、MD5、SIM卡等多種802.1x的認證方式,同時還支持802.1x本地認證方式,提供對MD5、TLS、PEAP這幾種主流認證方式的支持,用戶不再需要額外配置AAA服務器。WX3000H系列無線控制器還支持通過802.1x認證后動態授權VLAN和ACL功能,對用戶的策略可以事先設定好,用戶認證時,系統自動配置客戶權限。
MAC地址認證:WX3000H系列無線控制器支持MAC地址認證,對一些手持終端(例如:Wi-Fi Phone、手持移動終端等)并不方便采取電腦上的認證方式,MAC地址認證卻可以輕松解決該問題,實現在控制器或者AAA服務器上配置好合法的MAC地址,這些MAC地址對應的終端就可以被允許被接入到網絡,而事先沒有被配置的非法終端則不能接入無線網絡,該功能極大地方便了例如無線醫療系統等應用,MAC地址認證可以確保只有醫院的PDA工作終端才能接入到無線網絡,而拒絕病人的無線PDA使用專用無線網絡。
Portal認證:WX3000H系列無線控制器提供內置的Portal認證服務器。該認證方式無需客戶端配合,直接通過瀏覽器WEB Portal頁面作為認證通道,當用戶認證通過后,可以靈活跳轉到指定訪問首頁并啟動相應授權和計費。同時也可以根據策略要求,靈活推送定制Portal頁面,達到廣告宣傳、信息傳遞的作用,廣泛使用在無線校園、無線城市、訪客接入等應用場景。
支持IPv4/IPv6雙協議棧(Native IPv6)
WX3000H系列無線控制器支持無線客戶的IPV6接入。在隧道起點AP上,由于設備對IPv6感知,所以可以做到IPv6優先級到隧道優先級映射等;在AC側,同樣可以對IPv6報文進行ACL過濾等復雜的控制和過濾。
WX3000H系列無線控制器同樣可以部署在IPv6網絡中,AC和AP之間自動協商成IPv6隧道。AC和AP完全工作在IPv6狀態時,無線控制器仍能正確地感知IPv4,并能處理無線客戶的IPv4報文。WX3000H系列無線控制器IPv4/6靈活的適應能力,能滿足客戶在IPv4到IPv6網絡遷移中的各種復雜的應用,既能在IPv6孤島中給客戶提供IPv4的服務,同時也能在IPv4孤島中讓用戶輕松通過IPv6協議登錄到網絡。
針對校園網層出不窮的IPv6偽造報文攻擊,WX3000H系列無線控制器支持IPv6 SAVI(Source Address Validation,源地址有效性驗證)技術。通過對地址分配協議的偵聽獲取用戶的IP地址,保證隨后的應用中能夠使用正確地址上網,且不可偽造他人IP地址,保證了源地址的可靠性。同時,通過IPv6 SAVI和Portal技術的結合,進一步保證了所有上網用戶報文的真實性和安全性。
提供端到端的QoS
WX3000H系列無線控制器基于新一代V7系統開發,不但對Diff-Serv標準完善支持,同時增加了對IPv6協議的QoS支持。
QoS Diff-Serv 模型中主要包括流分類、流量監管(Policing)、隊列管理、隊列調度(Scheduling)等,完整實現了標準中定義的EF、AF1~AF4、BE等六組PHB及業務,使網絡運營商可為用戶提供具有不同服務質量等級的服務保證,使Internet真正成為同時承載數據、語音和視頻業務的綜合網絡。
支持快速的二、三層漫游
H3C公司的集中式無線架構不但能方便地實施二層漫游,而且非常有利于跨三層的漫游實現,用Fat AP部署的WLAN網絡,由于AP之間傳遞的信息有限,導致垮三層的漫游實現及其麻煩,集中式架構非常容易解決跨三層漫游的問題,WX3000H系列無線控制器支持二、三層漫游,漫游域不受子網的限制。這種優秀的漫游特性,可以讓客戶在規劃無線網絡時,無需過多考慮現有網絡的規劃,更多關注在無線信號的覆蓋即可,這種方式大大簡化了前期的網絡規劃,減少了網絡規劃成本。
傳統模式下,當無線用戶終端使用802.1x作為802.11接入認證和密鑰交互的手段時,無線用戶終端和AP間的交互報文會非常的多。當無線用戶終端在兩個AP間漫游時,如果無線用戶終端在新AP接入的過程完全遵從完整的802.1x的交互過程,勢必造成漫游切換的時間過長,對于某些對漫游切換時間敏感的業務(例如語音業務),這樣的長切換時間是無法忍受的。WX3000H系列無線控制器采用Key caching技術完成漫游時用戶的快速切換,Key caching技術在用戶的安全接入和快速漫游間做了一個很好的平衡,可以使無線用戶終端在兩個AP間進行漫游時不必重新進行完整的802.1x認證交互過程,同時又能保證用戶身份的識別和密鑰使用的連續性;無線用戶采用快速漫游方式,單AC內漫游時間不超過50ms,滿足了語音業務的苛刻需求。
支持多種分支機構遠程接入場景
當廣域網鏈路發生故障或AC發生故障時,在線用戶不掉線,可以繼續訪問本地資源,并且可支持AC逃生功能。
當分支機構AP部署于私網內時,AC可以穿越NAT與AP進行通信。
硬件規格
項目
|
WX3010H
|
WX3024H
|
外形尺寸(長×寬×高)
|
440*260*43.6mm
|
440*260*43.6mm
|
接口
|
8 * GE PoE+
2 * 1000BASE-X-SFP
2 * GE COMBO
1 console
|
24 * GE PoE+
2 * 10GBASE-R-SFP+
2 * GE COMBO
1 console
|
工作/存儲環境溫度
|
0℃~45℃/-40℃~70℃
|
工作/存儲環境相對濕度(非凝露)
|
5%~95%
|
安全規范
|
UL 60950-1
CAN/CSA C22.2 No 60950-1
IEC 60950-1
EN 60950-1/A11
AS/NZS 60950
EN 60825-1
EN 60825-2
EN60601-1-2
FDA 21 CFR Subchapter J
|
EMC
|
ETSI EN 300 386 V1.3.3:2005
EN 55024: 1998+ A1: 2001 + A2: 2003
EN 55022 :2006
VCCI V-3:2007
ICES-003:2004
EN 61000-3-2:2000+A1:2001+A2:2005
EN 61000-3-3:1995+A1:2001+A2:2005
AS/NZS CISPR 22:2004
FCC PART 15:2005
GB 9254:1998
GB/T 17618:1998
|
MTBF
|
≥38年
|
軟件規格
項目
|
支持特性
|
WX3010H
|
WX3024H
|
基礎性能
|
缺省管理AP數
|
0
|
0
|
License步長
|
1/8/16/32
|
1/8/16/32/128
|
最大管理AP數
|
64
|
128
|
802.11MAC
|
802.11協議簇
|
支持
|
多SSID(每射頻口)
|
16
|
隱藏SSID
|
支持
|
11G保護
|
支持
|
11n only
|
支持
|
用戶數限制
|
支持:基于SSID、Radio的用戶數限制
|
用戶在線檢測
|
支持
|
用戶無流量自動老化
|
支持
|
多國家碼部署
|
支持
|
無線用戶隔離
|
支持:
1、無線VLAN的無線用戶二層隔離
2、基于SSID的無線用戶二層隔離
|
40MHz模式的20MHz/40MHz自動切換
|
支持
|
轉發模式
|
本地轉發
|
本地轉發
|
支持:基于SSID+VLAN的本地轉發
|
CAPWAP
|
自動輸入AP序列號
|
支持
|
AC發現(DHCP option43、DNS方式)
|
支持
|
IPv6隧道
|
支持
|
時鐘同步
|
支持
|
Jumbo幀發送
|
支持
|
通過AC配置AP基本網絡參數
|
支持:配置靜態IP、VLAN、接入的AC地址等
|
AP與AC間穿越NAT
|
支持
|
漫游能力
|
同一AC內,不同AP下二、三層漫游
|
支持
|
不同AC間,不同AP下二、三層漫游
|
支持
|
接入控制
|
Open system、Shared-Key
|
支持
|
WEP-64/128、動態WEP
|
支持
|
WPA、WPA2
|
支持
|
TKIP
|
支持
|
CCMP
|
支持(11n推薦)
|
WAPI
|
可選支持
|
SSH v1.5/v2.0
|
支持
|
無線EAD(終端準入控制)
|
支持
|
Portal認證
|
支持:遠程、外掛服務器
|
Portal頁面推送
|
支持:基于SSID、AP的Portal頁面推送
|
Portal穿越Proxy
|
支持
|
802.1x認證
|
支持:
EAP-TLS、EAP-TTLS、EAP-PEAP、EAP-MD5、EAP-SIM、LEAP、EAP-FAST、EAP offload (僅支持TLS, PEAP)
|
本地認證
|
支持:802.1X、Portal、MAC認證
|
LDAP認證
|
支持:
1、支持802.1X與Portal接入
2、802.1X接入時支持EAP-GTC和EAP-TLS
|
基本位置的用戶接入控制
|
支持
|
訪客接入
|
支持
|
VIP通道
|
支持
|
ARP防攻擊
|
支持:無線SAVI
|
SSID防假冒
|
支持:用戶名與SSID綁定
|
基于域、SSID選擇AAA服務器
|
支持
|
AAA服務器備份
|
支持
|
無線用戶的本地AAA服務器
|
支持
|
TACACS+
|
支持
|
QoS
|
優先級映射
|
支持
|
L2-L4流分類
|
支持
|
流量限速
|
支持:流控粒度8Kbps
|
802.11e/WMM
|
支持
|
基于用戶角色(User Profile)的接入控制
|
支持
|
智能帶寬限速-基于帶寬均分算法
|
支持
|
智能帶寬限速-基于每用戶指定帶寬的算法
|
支持
|
智能帶寬保障
|
支持:
在流量未擁塞時,確保不同優先級SSID下的報文都可以自由通過;在流量擁塞時,確保每個SSID可以保持各自約定的最小帶寬
|
QoS Optimization for SVP phone
|
支持
|
CAC(Call Admission Control)
|
支持:基于用戶數/帶寬的CAC
|
端到端QoS
|
支持
|
AP上行口限速
|
支持
|
無線資源管理
|
國家碼鎖定
|
支持
|
靜態信道、功率設置
|
支持
|
動態信道、功率設置
|
支持
|
動態速率調節
|
支持
|
空口黑洞檢測和補償
|
支持
|
負載均衡維度
|
支持:基于流量、用戶、頻段(雙頻支持)
|
智能負載均衡
|
支持
|
AP均衡組
|
支持:自動發現并靈活設定
|
安全防御
|
靜態黑名單
|
支持
|
動態黑名單
|
支持
|
白名單
|
支持
|
非法AP檢測
|
支持:基于SSID、BSSID、設備OUI等
|
非法AP反制
|
支持
|
防無線泛洪攻擊(Flooding Attack)
|
支持
|
防仿冒攻擊(Spoof Attack)
|
支持
|
防Weak IV攻擊
|
支持
|
wIPS
|
支持:可實現7層移動安全防御
|
二層協議
|
ARP代答
|
支持
|
802.1p
|
支持
|
802.1q
|
支持
|
802.1x
|
支持
|
廣播風暴抑制
|
支持
|
IP協議
|
IPv4協議
|
支持
|
Native IPv6(原生)
|
支持
|
IPv6 SAVI
|
支持
|
IPv6 Portal
|
支持
|
組播協議
|
MLD Snooping
|
支持
|
IGMP Snooping
|
支持
|
組播組數目
|
256
|
組播轉單播(IPv4、IPv6)
|
支持:可依據環境設置單播接入閾值
|
備份
|
AC間1+1備份
|
支持
|
AC間AP數負荷分擔
|
支持
|
Remote AP
|
支持
|
網管與配置
|
管理方式
|
支持:WEB、SNMP v1/v2/v3、RMON等
|
配置方式
|
支持:WEB、CLI、TELNET、FTP等
|
無線定位
|
CUPID定位
|
支持
|
綠色節能
|
按需定時關閉AP射頻口
|
支持
|
按需定時關閉無線服務
|
支持
|
逐包功率控制(PPC)
|
支持
|
WLAN綜合應用
|
RF Ping
|
支持
|
遠程探針分析
|
支持
|
實時頻譜防護(RTSG)
|
支持
|
智能無線業務感知(wIAA)
|
支持/狀態防火墻
|
報文發送公平調度機制
|
支持
|
802.11n報文發送抑制
|
支持
|
基于連接狀況的流量整形
|
支持
|
調整AP間信道共享
|
支持
|
調整AP間信道重用
|
支持
|
射頻接口發送速率調整算法
|
支持
|
忽略弱信號無線報文
|
支持
|
禁止弱信號客戶端接入
|
支持
|
禁止組播報文緩存
|
支持
|
Blink狀態檢測(部分AP)
|
支持
|