产品概述
H3C WX3000H-F 是新华三技术有限公司(以下简称 H3C 公司)自主研发的新一代高性能有线无线一体化控制器(AC,Access Controller)产品系列。WX3000H-F 系列无线控制器具有大容量、高可靠、业务类型丰富等特点。硬件方面 WX3000H-F 系列配 备高性能多核 CPU。软件方面,采用 H3C全新一代 Comware V7 网络操作系统平台(以下简称 V7系统),除支持原系统的精细 化用户控制管理、完善的射频资源管理、7X24 小时无线安全管控、二三层快速漫游、灵活的 QoS控制、IPv4&IPv6 双栈等多项 功能之外,还支持多核控制平面、新一代无线定位、Bonjour、Hotspot2.0 等新兴的无线软件特性。相比传统无线控制器,WX3000H- F系列支持云计算管理、分层 AC、IRF等多种灵活的组网方式。
H3C WX3000H-F 系列无线控制器包含 WX3024H-F 和WX3520H-F 两款型号*。配合 H3C Fit AP 产品系列,可以满足大中型企 业园区WLAN接入、无线城域网覆盖、热点覆盖等无线场景的典型应用。
WX3024H-F 运营级核心多业务无线控制器设备外观图
WX3520H-F 运营级核心多业务无线控制器设备外观图
*详细购买信息请咨询 H3C当地办事处
产品特点
提供对 Wi-Fi 6 AP (802.11ax) 的管理
WX6100E系列无线控制器在支持对传统 802.11a/b/g/n/ac AP 管理的同时,还可以与 H3C 基于 Wi-Fi6(802.11ax)协议的 AP 配合组网,从而突破传统无线网络串行通信的机制,促使无线频谱资源利用率成倍提升,有效接入用户数得到了极大的提高,有效 减少无线网络的部署开销,极大提升了高密度用户环境下的用户体验。
基于全新的操作系统
WX3000H-F 系列无线控制器采用 H3C新一代V7系统开发,新的操作系统极大提升产品的性能和可靠性,能够满足企业市场上 越来越复杂的网络应用,相比上一代操作系统,V7系统具有多方面的优势:
l 多核控制:在 V7系统中可以根据需要调整 CPU控制核和转发核的分配比例,可根据需求达到一个最佳平衡,能够充分提升CPU的控制计算及数据计算的能力,同时提供强大的并发计算能力。
l 支持用户态多任务:V7系统采用全新的软件运行权限控制方式,绝大多数网络业务都运行在用户态,不同网络业务占用不同 的任务,每个任务占用独立的资源,某一任务运行错误只局限在本任务之内,不影响其他任务,使系统能够保持安全可靠地运 行。
l 用户态任务监控:V7系统具有任务监控功能,系统专门监控用户态的各个任务的运行情况,如果用户态任务出现异常情况, 系统会重载该任务,使业务能够迅速恢复。
l 采用新的单独业务升级的方式:V7系统支持单独的业务升级,只升级单独的某个业务模块而不需更新整个软件,相对公司前 一代操作系统,可大大减少重启升级的次数,保证升级的安全性,有效提供网络稳定性。
提供高密端口接入
WX3000H-F 系列无线控制器在对外接口提供了高密的端口接入,以支持更好的有线无线一体化接入(包括用户接入,用户认证, 计费等的管理,有线无线用户统一管理),根据款型对外提供的不同的业务接口,以满足不同市场的要求。产品通过提供高密端口 及多种端口类型,能满足用户灵活组网和网络接入。
WX3024H-F,对外提供 24个 GE口和 2个 SFP+,其中 24个GE口可支持 PoE+供电; WX3520H-F,对外提供 8个 GE Combo 和2个 SFP+; 用户可根据设备提供对外的接口及处理性能灵活的选择产品。
支持星型 IRF
WX3520H-F 无线控制器可支持 H3C最新开发的星型 IRF模型,相比普通级联的 IRF模型,星型模型采用二层网络(虚拟成一个 中心点)连接多台设备,组网更灵活方便。星型 IRF模型的核心思想是将多台设备以星型拓扑连接在一起,虚拟化成一台分布式设 备,具有以下优势:
l 组网简单:星型 IRF无须专用堆叠线和专门堆叠口,只需要通过交换机或者直接连线,二层相通即可建立堆叠。
l 能力叠加:星型 IRF整体对外呈现一台虚拟 AC,虚拟 AC的管理 AP和用户数量是多台 AC能力的叠加。
l 配置简单:在虚拟 AC上的配置,能自动同步到所有物理 AC。
l 高可靠的备份:一台 AC宕机不影响虚拟 AC的功能,当前 WX3520H-F 无线控制器支持最多 2台设备堆叠。
支持分层 AC架构
分层 AC架构是 H3C创新提出的针对市场上多级组网需求的全新组网模型,分层 AC采用类似大型连锁企业机构集中控制分级管 理的架构方式,由一个总的核心层管理 AC下挂多个本地接入层 AC,接入层 AC直接下挂 AP。接入层 AC主要功能包括 AP接入 和数据转发等实时性业务,核心层 AC主要做网络的管理控制和集中认证等非实时性全局业务,另外核心层 AC也具有普通 AC的 接入 AP及数据转发功能。核心层 AC为高性能 AC,布置在汇聚层;而接入层 AC可以由标准 AC、All-in-one AC(具备路由、 DPI功能)或有线无线一体化交换机组成,跟现有网络平级布置;分层 AC的这种架构模型将有线无线一体化理念推向新的高度, 能够适用于大规模无线网络部署。分层 AC模型天然支持总部和分支的应用场景,核心链路带宽和核心层 AC转发能力不再成为瓶 颈,核心层 AC集中控制,接入层 AC和下挂 AP能够很方便的实现自动升级和配置同步,极大地简化了版本升级工作。在漫游场 景,接入层 AC负责 AP间切换,漫游性能也得到极大提升。
支持丘比特定位
WX3000H-F 系列支持 CUPID方式进行无线定位,因为准确度高,也称为丘比特定位系统。丘比特定位系统采用了类似于雷达探 测的原理,AP主动给客户端发送探测报文,通过计算发送报文和响应报文的时间差来计算客户端的位置。
分类 | 分类描述 |
| CUPID | 指纹定位法 |
障碍物 | 移动的人群的身体 遮挡 | 基本无影响。基于电磁波传输时 间 |
有影响。信号强度衰减较大 | |
多径环境 | 室内环境,信号经 过反射、直射多种 路径到达,RSSI 的 波动幅度大 |
无影响 |
|
有很大影响 |
工程量 | 现场勘查、信号特 征调查等 |
较小 |
| 较大。需要人工采集指纹特征数据 库 |
精度 | 同样部署密度情况 下的定位准确度 |
可以到 2 米的精度 |
5米~15 米,一般在 10 米 | |
稳定性 | 定位引擎输出的坐 标,在真实环境下 受多种因素的干扰 下的稳定性 |
基于直射路径的传输时间,输出 较稳定 |
受障碍物、多径效应、部署密度、 环境改变等因素,定位结果波动的 较大 | |
提供新一代智能业务感知
智能业务感知(Intelligent Application Aware)为有线和无线用户提供基于用户角色的应用层安全、QOS和转发策略。通过智能 业务感知功能,可以指定谁能访问网络,他的各种应用(如 http, ftp 等)能访问的网络范围以及允许的网络带宽。相比上一代产 品,新一代智能业务感知业务加入了对报文深度分析(DPI)功能,扩充了应用的识别和统计功能。在上一代系统中,主要是基于 以太网协议的四层端口号粗犷的识别,(比如 80端口对应 HTTP 协议,20/21对应 FTP,8000端口对应 QQ等),用户可以通过设置代理之类的方式绕过访问限制,而在新一代系统中,直接基于以太网协议报文的七层特征,根据具体应用中报文的特征库进行识别,对于这样精准的识别,是可以进行完全的限制。通过报文深度解析功能不需要逐条设置禁止访问的网站(例如京东、淘宝、 一号店等网站),而只需要设置禁止访问购物累网站即可,简化了配置工作,提升了效率。
提供灵活的数据转发方式
传统的无线控制器部署一般采用集中式转发模式,AC 可以对报文进行全面控制和安全监管,但所有的无线业务流量需要到 AC 进 行统一处理,核心链路带宽和 AC转发能力容易成为瓶颈。特别是 AP和AC通过广域网方式进行连接时,AP作为数据接入设备部 署在分支机构,而 AC部署在总部,所有用户数据由 AP发送到 AC,再由 AC进行集中转发,导致转发效率低下。WX3000H-F 系 列无线控制器可以支持集中式转发、分布式转发、策略转发,用户根据业务需要和网络实际情况可以灵活设置转发方式。
WX3000H-F 系列无线控制器同时支持集中认证本地转发的组网方式,在数据流本地转发的情况下,提供 802.1X和 Portal 的集中 认证和管理。
支持运营级无线用户接入控制和管理
基于用户的接入控制是 WX3000H-F 系列无线控制器产品的一大特色,User Profile(用户配置文件)提供一个配置模板,能够保存 预设配置(一系列配置的集合)。用户可以根据不同的应用场景为 User Profile 配置不同的内容,比如 CAR(Committed Access Rate, 承诺访问速率)策略和 QoS(Quality of Service,服务质量)策略等。
用户访问设备时,需要先进行身份认证。在认证过程中,认证服务器会将 User Profile 名称下发给设备,设备会立即启用 User Profile 里配置的具体内容。当用户通过认证访问设备时,设备将通过这些具体内容限制用户的访问行为。当用户下线时,系统会自 动禁用 User Profile 下的配置项,从而取消 User Profile 对用户的限定。因此,User Profile 适用于限制上线用户的访问行为,没 有用户上线(可能是没有用户接入、或者用户没有通过认证、或者用户下线)时,User Profile 是预设配置,并不生效。
另外,WX3000H-F 系列无线控制器还支持基于 MAC的认证接入控制方式,这种方式不但可以使得客户在 AAA服务器上对用户 组进行权限的配置和修改,同时支持对具体用户的权限的配置,这种精细的用户权限控制大大增强了无线网络的可用度,网管人员 可以轻松通过该方式对不同级别的人或人群进行接入权限分配。
基于 MAC 的 VLAN 同样也是 WX3500H系列无线控制器的一大特色,在控制策略上,管理员可以把相同性质的用户(MAC)划分 到同一个 VLAN,同时在控制器上基于 VLAN 配置安全策略,这样做既可以简化系统配置,又可以做到用户级粒度的精细管理。
出于安全性或计费等考虑,系统管理员可能希望控制无线用户接入到网络中的位置。WX3000H-F系列无线控制器支持基于 AP位 置的用户接入控制。当无线用户接入网络时,可以通过认证服务器向 AC下发允许用户接入的 AP列表,在 AC上进行接入控制, 从而达到限制无线用户只能接入到指定位置的 AP的目的。
支持信道智能切换
无线局域网中,信道是非常稀缺的资源,每个 AP 只能够工作在非常有限的非重叠信道上,比如对于 2.4G网络,只有3个非重叠 信道,所以如何智能地为 AP分配信道是无线应用的关键。
无线局域网工作的频段存在大量可能的干扰源,如雷达、微波炉,它们在网络中的出现将干扰 AP的正常工作。通过信道智能切换 功能,可以保证每个 AP能够分配到最优的信道,尽可能地减少和避免相邻信道干扰,而且通过实时信道干扰检测,可以让 AP实 时避开雷达,微波炉等干扰源。
支持智能 AP负载分担
802.11协议把无线漫游的决策交给了无线客户端,无线客户端一般会根据 AP信号强度(RSSI)选择 AP,这很容易导致大量的客户 端仅仅因为某个 AP信号较强而连接到同一个 AP上。由于这些客户端共享无线媒介,导致每个客户端的网络吞吐将大量减少。
智能负载分担方法可以实时地分析无线客户端的位置,动态地确定在当前时刻和当前位置下哪些 AP可以彼此分担负载,通过控制 无线客户端接入的 AP,来实现这些 AP 间的负载分担。系统不仅支持按照用户在线会话数的负载分担,而且支持按照用户流量负 载的分担。
支持 7 层移动安全检测/防御(wIDS/wIPS)
WX3000H-F 系列无线控制器支持的移动安全防御模式有:黑名单、白名单、Rogue 防御、畸形报文检测、非法用户下线、基于可 预设升级的 Signature MAC 层攻击检测与反制(例如:DoS 攻击,Flood 攻击、中间人攻击)等。配合无线应用控制台内置的海量 智能专家知识库,可以获得灵活的无线安全策略判断依据,对于明确的非法攻击源(AP或终端等),实现可视的物理位置跟踪监控和 交换机物理端口移除。
通过配合 H3C专业核心层防火墙/IPS设备,更可以实现移动园区的 7层立体安全防御,满足真正的从无线(802.11)到有线(802.3)
端到端安全防护需求。
支持802.1x 认证,MAC 地址认证,Portal认证等
WX3000H-F 系列无线控制器支持多种认证方式:
802.1x认证:WX3000H-F 系列无线控制器支持 TLS、PEAP、TTLS、MD5、SIM卡等多种 802.1x的认证方式,同时还支持 802.1x本地认证方式,提供对 MD5、TLS、PEAP这几种主流认证方式的支持,用户不再需要额外配置 AAA服务器。 WX3000H-F 系列无线控制器还支持通过 802.1x认证后动态授权 VLAN 和 ACL功能,对用户的策略可以事先设定好,用户 认证时,系统自动配置客户权限。
MAC地址认证:WX3000H-F 系列无线控制器支持 MAC地址认证,对一些手持终端(例如:Wi-Fi Phone、手持移动终端等)并不方便采取电脑上的认证方式,MAC地址认证却可以轻松解决该问题,实现在控制器或者 AAA服务器上配置好合法 的 MAC地址,这些 MAC地址对应的终端就可以被允许被接入到网络,而事先没有被配置的非法终端则不能接入无线网 络,该功能极大地方便了例如无线医疗系统等应用,MAC地址认证可以确保只有医院的 PDA工作终端才能接入到无线网 络,而拒绝病人的无线 PDA使用专用无线网络。
Portal 认证:WX3000H-F 系列无线控制器提供内置的 Portal 认证服务器。该认证方式无需客户端配合,直接通过浏览器WEB Portal 页面作为认证通道,当用户认证通过后,可以灵活跳转到指定访问首页并启动相应授权和计费。同时也可以根 据策略要求,灵活推送定制 Portal 页面,达到广告宣传、信息传递的作用,广泛使用在无线校园、无线城市、访客接入等应 用场景。
支持 IPv4/IPv6 双协议栈(Native IPv6)
WX3000H-F 系列无线控制器支持无线客户的IPV6 接入。在隧道起点 AP上,由于设备对 IPv6 感知,所以可以做到 IPv6 优先级 到隧道优先级映射等;在 AC侧,同样可以对 IPv6 报文进行 ACL过滤等复杂的控制和过滤。
WX3000H-F 系列无线控制器同样可以部署在 IPv6 网络中,AC和 AP之间自动协商成 IPv6 隧道。AC和 AP完全工作在 IPv6 状态时,无线控制器仍能正确地感知 IPv4,并能处理无线客户的 IPv4 报文。WX3000H-F 系列无线控制器 IPv4/6 灵活的适应能力,
能满足客户在 IPv4 到IPv6 网络迁移中的各种复杂的应用,既能在 IPv6 孤岛中给客户提供 IPv4 的服务,同时也能在 IPv4 孤岛中 让用户轻松通过 IPv6 协议登录到网络。
针对校园网层出不穷的 IPv6 伪造报文攻击,WX3000H-F 系列无线控制器支持IPv6 SAVI(Source Address Validation,源地址有 效性验证)技术。通过对地址分配协议的侦听获取用户的 IP 地址,保证随后的应用中能够使用正确地址上网,且不可伪造他人 IP 地 址,保证了源地址的可靠性。同时,通过 IPv6 SAVI 和Portal技术的结合,进一步保证了所有上网用户报文的真实性和安全性。
提供端到端的 QoS
WX3000H-F 系列无线控制器基于新一代 V7 系统开发,不但对 Diff-Serv 标准完善支持,同时增加了对 IPv6 协议的 QoS 支持。
QoS Diff-Serv 模型中主要包括流分类、流量监管(Policing)、队列管理、队列调度(Scheduling)等,完整实现了标准中定义的 EF、 AF1~AF4、BE 等六组 PHB 及业务,使网络运营商可为用户提供具有不同服务质量等级的服务保证,使 Internet 真正成为同时承 载数据、语音和视频业务的综合网络。
支持快速的二、三层漫游
H3C公司的集中式无线架构不但能方便地实施二层漫游,而且非常有利于跨三层的漫游实现,用 Fat AP 部署的 WLAN网络,由 于 AP之间传递的信息有限,导致垮三层的漫游实现及其麻烦,集中式架构非常容易解决跨三层漫游的问题,WX3000H-F 系列无 线控制器支持二、三层漫游,漫游域不受子网的限制。这种优秀的漫游特性,可以让客户在规划无线网络时,无需过多考虑现有网 络的规划,更多关注在无线信号的覆盖即可,这种方式大大简化了前期的网络规划,减少了网络规划成本。
传统模式下,当无线用户终端使用 802.1x作为 802.11接入认证和密钥交互的手段时,无线用户终端和 AP间的交互报文会非常的 多。当无线用户终端在两个 AP 间漫游时,如果无线用户终端在新 AP 接入的过程完全遵从完整的 802.1x的交互过程,势必造成 漫游切换的时间过长,对于某些对漫游切换时间敏感的业务(例如语音业务),这样的长切换时间是无法忍受的。WX3000H-F 系列 无线控制器采用 Key caching技术完成漫游时用户的快速切换,Key caching 技术在用户的安全接入和快速漫游间做了一个很好 的平衡,可以使无线用户终端在两个 AP 间进行漫游时不必重新进行完整的 802.1x认证交互过程,同时又能保证用户身份的识别 和密钥使用的连续性;无线用户采用快速漫游方式,单 AC内漫游时间不超过 50ms,满足了语音业务的苛刻需求。
支持多种分支机构远程接入场景
当 AC和 AP通过广域网链路进行连接时,用户可以灵活选择集中转发或本地转发模式,提升分支机构局域网打印访问、终端互访等业务性能。
当广域网链路发生故障或 AC发生故障时,在线用户不掉线,可以继续访问本地资源,并且可支持 AC逃生功能。
当分支机构 AP部署于私网内时,AC可以穿越 NAT与AP进行通信。