H3C WX2500H系列新一代企业级核心多业务无线控制器.docx

1、H3C WX2500H系列新一代企业级核心多业务无线控制器提供对802.11ax AP的管理WX2500H无线控制器在支持对传统802.11a/b/g/n/ac AP管理的同时，还可以与H3C基于802.11ax协议的AP配合组网，从而突破传统无线网络串行通信的机制，促使无线频谱资源利用率成倍提升，有效接入用户数得到了极大的提高，有效减少无线网络的部署开销，极大提升了高密度用户环境下的用户体验。基于全新的操作系统WX2500H系列无线控制器采用H3C新一代V7系统开发，新的操作系统极大提升产品的性能和可靠性，能够满足企业市场上越来越复杂的网络应用，相比上一代操作系统，V7系统具有多方面的优势：

2、多核控制：在V7系统中可以根据需要调整CPU控制核和转发核的分配比例，可根据需求达到一个最佳平衡，能够充分提升CPU的控制计算及数据计算的能力，同时提供强大的并发计算能力。支持用户态多任务：V7系统采用全新的软件运行权限控制方式，绝大多数网络业务都运行在用户态，不同网络业务占用不同的任务，每个任务占用独立的资源，某一任务运行错误只局限在本任务之内，不影响其他任务，使系统能够保持安全可靠地运行。用户态任务监控：V7系统具有任务监控功能，系统专门监控用户态的各个任务的运行情况，如果用户态任务出现异常情况，系统会重载该任务，使业务能够迅速恢复。采用新的单独业务升级的方式：V7系统支持单独的业务升级，

3、只升级单独的某个业务模块而不需更新整个软件，相对公司前一代操作系统，可大大减少重启升级的次数，保证升级的安全性，有效提供网络稳定性。提供灵活的数据转发方式传统的无线控制器部署一般采用集中式转发模式，AC可以对报文进行全面控制和安全监管，但所有的无线业务流量需要到AC进行统一处理，核心链路带宽和AC转发能力容易成为瓶颈。特别是AP和AC通过广域网方式进行连接时，AP作为数据接入设备部署在分支机构，而AC部署在总部，所有用户数据由AP发送到AC，再由AC进行集中转发，导致转发效率低下。WX2500H系列无线控制器可以支持集中式转发、分布式转发、策略转发，用户根据业务需要和网络实际情况可以灵活设置转

4、发方式。WX2500H系列无线控制器同时支持集中认证本地转发的组网方式，在数据流本地转发的情况下，提供802.1X和Portal的集中认证和管理。支持运营级无线用户接入控制和管理基于用户的接入控制是WX2500H无线控制器产品的一大特色，User Profile(用户配置文件)提供一个配置模板，能够保存预设配置(一系列配置的集合)。用户可以根据不同的应用场景为User Profile配置不同的内容，比如CAR(Committed Access Rate，承诺访问速率)策略和QoS(Quality of Service，服务质量)策略等。用户访问设备时，需要先进行身份认证。在认证过程中，认证服务

5、器会将User Profile名称下发给设备，设备会立即启用User Profile里配置的具体内容。当用户通过认证访问设备时，设备将通过这些具体内容限制用户的访问行为。当用户下线时，系统会自动禁用User Profile下的配置项，从而取消User Profile对用户的限定。因此，User Profile适用于限制上线用户的访问行为，没有用户上线(可能是没有用户接入、或者用户没有通过认证、或者用户下线)时，User Profile是预设配置，并不生效。另外，WX2500H无线控制器还支持基于MAC的认证接入控制方式，这种方式不但可以使得客户在AAA服务器上对用户组进行权限的配置和修改，同时

6、支持对具体用户的权限的配置，这种精细的用户权限控制大大增强了无线网络的可用度，网管人员可以轻松通过该方式对不同级别的人或人群进行接入权限分配。基于MAC的VLAN同样也是WX2500H无线控制器的一大特色，在控制策略上，管理员可以把相同性质的用户(MAC)划分到同一个VLAN，同时在控制器上基于VLAN配置安全策略，这样做既可以简化系统配置，又可以做到用户级粒度的精细管理。出于安全性或计费等考虑，系统管理员可能希望控制无线用户接入到网络中的位置。WX2500H无线控制器支持基于AP位置的用户接入控制。当无线用户接入网络时，可以通过认证服务器向AC下发允许用户接入的AP列表，在AC上进行接入控制

7、，从而达到限制无线用户只能接入到指定位置的AP的目的。提供可靠的网关功能WX2500H定位于中小企业，分支机构的网关，集成了网关和AC双功能。WAN口为光电Combo 接口，支持PPPOE、NAT网关功能、动态IP地址、静态IP地址设定功能。支持Bonjour GatewayWX2500H商业无线控制器支持Bonjour Gateway功能，使小型企业内部可以很方便的使用Apple 设备，如打印机、电视机和平板电脑。支持分层AC架构分层AC架构是H3C创新提出的针对市场上多级组网需求的全新组网模型，分层AC采用类似大型连锁企业机构集中控制分级管理的架构方式，由一个总的核心层管理AC下挂多个本地

8、接入层AC，接入层AC直接下挂AP。接入层AC主要功能包括AP接入和数据转发等实时性业务，核心层AC主要做网络的管理控制和集中认证等非实时性全局业务，另外核心层AC也具有普通AC的接入AP及数据转发功能。核心层AC为高性能AC，布置在汇聚层；而接入层AC可以由标准AC、All-in-one AC（具备路由、DPI功能）或有线无线一体化交换机组成，跟现有网络平级布置；分层AC的这种架构模型将有线无线一体化理念推向新的高度，能够适用于大规模无线网络部署。分层AC模型天然支持总部和分支的应用场景，核心链路带宽和核心层AC转发能力不再成为瓶颈，核心层AC集中控制，接入层AC和下挂AP能够很方便的实现自

9、动升级和配置同步，极大地简化了版本升级工作。在漫游场景，接入层AC负责AP间切换，漫游性能也得到极大提升。支持信道智能切换无线局域网中，信道是非常稀缺的资源，每个AP只能够工作在非常有限的非重叠信道上，比如对于2.4G网络，只有个非重叠信道，所以如何智能地为AP分配信道是无线应用的关键。无线局域网工作的频段存在大量可能的干扰源，如雷达、微波炉，它们在网络中的出现将干扰AP的正常工作。通过信道智能切换功能，可以保证每个AP能够分配到最优的信道，尽可能地减少和避免相邻信道干扰，而且通过实时信道干扰检测，可以让AP实时避开雷达，微波炉等干扰源。支持智能AP负载分担802.11协议把无线漫游的决策交给

10、了无线客户端，无线客户端一般会根据AP信号强度(RSSI)选择AP，这很容易导致大量的客户端仅仅因为某个AP信号较强而连接到同一个AP上。由于这些客户端共享无线媒介，导致每个客户端的网络吞吐将大量减少。智能负载分担方法可以实时地分析无线客户端的位置，动态地确定在当前时刻和当前位置下哪些AP可以彼此分担负载，通过控制无线客户端接入的AP，来实现这些AP间的负载分担。系统不仅支持按照用户在线会话数的负载分担，而且支持按照用户流量负载的分担。支持7层移动安全检测/防御(wIDS/wIPS)WX2500H无线控制器支持的移动安全防御模式有：黑名单、白名单、Rogue防御、畸形报文检测、非法用户下线、基

11、于可预设升级的Signature MAC层攻击检测与反制(例如：DoS攻击，Flood攻击、中间人攻击)等。配合无线应用控制台内置的海量智能专家知识库，可以获得灵活的无线安全策略判断依据，对于明确的非法攻击源(AP或终端等)，实现可视的物理位置跟踪监控和交换机物理端口移除。通过配合H3C专业核心层防火墙/IPS设备，更可以实现移动园区的7层立体安全防御，满足真正的从无线(802.11)到有线(802.3)端到端安全防护需求。支持RealTime Spectrum Guard(实时频谱保护)模式RealTime Spectrum Guard(RTSG)是H3C创新提出的针对无线环境频谱状态的专业

12、监控方案。全系列无线控制器可以和内置射频采集模块的Sensor AP，实现深度融合的射频监控和实时频谱防护。RTSG的控制台融合部署于H3C iMC智能管理中心，通过CAPWAP管理隧道，与Sensor AP进行通信和数据采集，实现7X24小时的无线环境质量监控、无线网络能力趋势评估以及非许可干扰告警。通过图形化方式，主动探测和识别所有2.4GHz/5GHz波段的射频干扰源(Wi-Fi或非Wi-Fi)，可提供实时FFT图，频谱密度图、光谱图、占空比图、事件光谱图、频道功率、干扰功率等；可自动识别干扰源，确定有问题的无线设备的位置，确保无线网络发挥最佳的性能。结合H3C iAR智能报表组件，可实

13、现全覆盖区内的射频质量历史记录的存储、追溯、回放等，自动生成客户化的趋势、合规和审计报告。针对用户无线环境监管的不同层次需求，RTSG方案的部署可以灵活采用Local mode或Monitor Mode。当工作在Local Mode时，可以在获得有效的频谱防护前提下，保持正常的用户接入和数据包转发。支持智能无线业务感知(wIAA)WX2500H无线控制器支持智能感知无线业务流量，实现基于无线用户状态的弹性策略识别与管理，优化语音及视频业务承载。内置射频优化引擎(ROE)WX2500H无线控制器内置针对AP的射频优化引擎(RF Optimizing Engine)，通过基于特征和协议的射频优化，

14、有效提升无线部署中高密度接入、流媒体传输等场景中的应用加速能力和质量保障效果。其中包含：多用户公平调度、混合接入公平、过滤干扰、速率最优、频谱导航、组播增强(IPv4/IPv6)、逐包功率控制和智能带宽保障等。支持802.1x认证，MAC地址认证，Portal认证等WX2500H无线控制器支持多种认证方式：802.1x认证：WX2500H无线控制器支持TLS、PEAP、TTLS、MD5、SIM卡等多种802.1x的认证方式，同时还支持802.1x本地认证方式，提供对MD5、TLS、PEAP这几种主流认证方式的支持，用户不再需要额外配置AAA服务器。WX2500H无线控制器还支持通过802.1x

15、认证后动态授权VLAN和ACL功能，对用户的策略可以事先设定好，用户认证时，系统自动配置客户权限。MAC地址认证：WX2500H无线控制器支持MAC地址认证，对一些手持终端(例如：Wi-Fi Phone、手持移动终端等)并不方便采取电脑上的认证方式，MAC地址认证却可以轻松解决该问题，实现在控制器或者AAA服务器上配置好合法的MAC地址，这些MAC地址对应的终端就可以被允许被接入到网络，而事先没有被配置的非法终端则不能接入无线网络，该功能极大地方便了例如无线医疗系统等应用，MAC地址认证可以确保只有医院的PDA工作终端才能接入到无线网络，而拒绝病人的无线PDA使用专用无线网络。Portal认证

16、：WX2500H无线控制器提供内置的Portal认证服务器。该认证方式无需客户端配合，直接通过浏览器WEB Portal页面作为认证通道，当用户认证通过后，可以灵活跳转到指定访问首页并启动相应授权和计费。同时也可以根据策略要求，灵活推送定制Portal页面，达到广告宣传、信息传递的作用，广泛使用在无线校园、无线城市、访客接入等应用场景。支持IPv4/IPv6双协议栈(Native IPv6)WX2500H无线控制器支持无线客户的IPV6接入。在隧道起点AP上，由于设备对IPv6感知，所以可以做到IPv6优先级到隧道优先级映射等；在AC侧，同样可以对IPv6报文进行ACL过滤等复杂的控制和过滤。

17、WX2500H无线控制器同样可以部署在IPv6网络中，AC和AP之间自动协商成IPv6隧道。AC和AP完全工作在IPv6状态时，无线控制器仍能正确地感知IPv4，并能处理无线客户的IPv4报文。WX2500H无线控制器IPv4/6灵活的适应能力，能满足客户在IPv4到IPv6网络迁移中的各种复杂的应用，既能在IPv6孤岛中给客户提供IPv4的服务，同时也能在IPv4孤岛中让用户轻松通过IPv6协议登录到网络。针对校园网层出不穷的IPv6伪造报文攻击，WX2500H无线控制器支持IPv6 SAVI(Source Address Validation，源地址有效性验证)技术。通过对地址分配协议的侦

18、听获取用户的IP地址，保证随后的应用中能够使用正确地址上网，且不可伪造他人IP地址，保证了源地址的可靠性。同时，通过IPv6 SAVI和Portal技术的结合，进一步保证了所有上网用户报文的真实性和安全性。提供端到端的QoSWX2500H无线控制器基于Comware平台开发，不但对Diff-Serv标准完善支持，同时增加了对IPv6协议的QoS支持。QoS Diff-Serv 模型中主要包括流分类、流量监管(Policing)、队列管理、队列调度(Scheduling)等，完整实现了标准中定义的EF、AF1AF4、BE等六组PHB及业务，使网络运营商可为用户提供具有不同服务质量等级的服务保证，

19、使Internet真正成为同时承载数据、语音和视频业务的综合网络。支持快速的二、三层漫游H3C公司的集中式无线架构不但能方便地实施二层漫游，而且非常有利于跨三层的漫游实现，用Fat AP部署的WLAN网络，由于AP之间传递的信息有限，导致垮三层的漫游实现及其麻烦，集中式架构非常容易解决跨三层漫游的问题，WX2500H无线控制器支持二、三层漫游，漫游域不受子网的限制。这种优秀的漫游特性，可以让客户在规划无线网络时，无需过多考虑现有网络的规划，更多关注在无线信号的覆盖即可，这种方式大大简化了前期的网络规划，减少了网络规划成本。传统模式下，当无线用户终端使用802.1x作为802.11接入认证和密钥

20、交互的手段时，无线用户终端和AP间的交互报文会非常的多。当无线用户终端在两个AP间漫游时，如果无线用户终端在新AP接入的过程完全遵从完整的802.1x的交互过程，势必造成漫游切换的时间过长，对于某些对漫游切换时间敏感的业务(例如语音业务)，这样的长切换时间是无法忍受的。WX2500H无线控制器采用Key caching技术完成漫游时用户的快速切换，Key caching技术在用户的安全接入和快速漫游间做了一个很好的平衡，可以使无线用户终端在两个AP间进行漫游时不必重新进行完整的802.1x认证交互过程，同时又能保证用户身份的识别和密钥使用的连续性；无线用户采用快速漫游方式，单AC内漫游时间不超

21、过50ms，满足了语音业务的苛刻需求。硬件规格项目WX2510H-PWRWX2540HWX2560H外形尺寸(宽深高)220mm*146mm*28mm220mm*147mm*28mm330 mm *230 mm *43.6 mm满配重量0.95kg0.9kg2.0kg吞吐量1.6Gbps1.6Gbps2Gbps接口WAN 1*GE + LAN 4*GE(PoE+) + 1*USBWAN 1*GE + 1* SFP + LAN 4*GE + 2*USBWAN 2*GE + LAN 4*GE + LAN 2*GE Combo + 1*USB + 1*SD Card slot电源90W电源适配器，2

22、20V交流输入，52.5V直流输入24W电源适配器，220V交流输入，12V直流输入36W电源适配器，220V交流输入，12V直流输入工作/存储环境温度0C40C/-40C70C工作/存储环境相对湿度(非凝露)5%95%安全规范UL 60950-1CAN/CSA C22.2 No 60950-1IEC 60950-1EN 60950-1/A11AS/NZS 60950EN 60825-1EN 60825-2EN60601-1-2FDA 21 CFR Subchapter JEMCETSI EN 300 386 V1.3.3:2005EN 55024: 1998+ A1: 2001 + A2:

23、2003EN 55022 :2006VCCI V-3:2007ICES-003:2004EN 61000-3-2:2000+A1:2001+A2:2005EN 61000-3-3:1995+A1:2001+A2:2005AS/NZS CISPR 22:2004FCC PART 15:2005GB 9254:1998GB/T 17618:1998MTBF154年软件规格项目支持特性WX2510H-PWRWX2540HWX2560H基础性能缺省管理AP数0License步长1/4/8/161/4/8/16/321/4/8/16/32/64/128最大管理AP数1648128最大配置AP数32962

24、56最大用户数102415363072ARP表项204830726144ND表项204830726144802.11MAC802.11协议簇支持多SSID(每射频口)16隐藏SSID支持11G保护支持11n only支持用户数限制支持：基于SSID、Radio的用户数限制用户在线检测支持用户无流量自动老化支持多国家码部署支持无线用户隔离支持：1、无线VLAN的无线用户二层隔离2、基于SSID的无线用户二层隔离40MHz模式的20MHz/40MHz自动切换支持本地转发支持：基于SSID+VLAN的本地转发CAPWAP自动输入AP序列号支持AC发现(DHCP option43、DNS方式)支持IP

25、v6隧道支持时钟同步支持Jumbo帧发送支持AP双上行隧道链路支持通过AC配置AP基本网络参数支持：配置静态IP、VLAN、接入的AC地址等AC和AP之间支持L2、L3层组网支持AP与AC间穿越NAT支持漫游能力同一AC内,不同AP下二、三层漫游支持不同AC间,不同AP下二、三层漫游支持路由特性NAT支持PPPoE支持DDNS支持SSL VPN支持IPSEC VPN支持RIP支持GRE支持接入控制Open system、Shared-Key支持WEP-64/128、动态WEP支持WPA、WPA2支持TKIP支持CCMP支持(推荐)WAPI可选支持SSH v1.5/v2.0支持无线EAD(终端准

26、入控制)支持Portal认证支持：远程、本地服务器Portal页面推送支持：基于SSID、AP的Portal页面推送Portal穿越Proxy支持802.1x认证支持：EAP-TLS、EAP-TTLS、EAP-PEAP、EAP-MD5、EAP-SIM、LEAP、EAP-FAST、EAP offload (仅支持TLS, PEAP)本地认证支持：802.1X、Portal、MAC认证LDAP认证支持：1、支持802.1X与Portal接入2、802.1X接入时支持EAP-GTC和EAP-TLS基本位置的用户接入控制支持访客接入支持VIP通道支持ARP防攻击支持：无线SAVISSID防假冒支持：用

27、户名与SSID绑定基于域、SSID选择AAA服务器支持AAA服务器备份支持无线用户的本地AAA服务器支持TACACS+支持QoS优先级映射支持L2-L4流分类支持流量限速支持802.11e/WMM支持支持基于AP的带宽限速支持基于用户角色(User Profile)的接入控制支持智能带宽限速-基于带宽均分算法支持智能带宽限速-基于每用户指定带宽的算法支持智能带宽保障支持：在流量未拥塞时，确保不同优先级SSID下的报文都可以自由通过；在流量拥塞时，确保每个SSID可以保持各自约定的最小带宽QoS Optimization for SVP phone支持CAC(Call Admission Con

28、trol)支持：基于用户数/带宽的CAC端到端QoS支持AP上行口限速支持无线资源管理国家码锁定支持静态信道、功率设置支持动态信道、功率设置支持动态速率调节支持空口黑洞检测和补偿支持负载均衡维度支持：基于流量、用户、频段(双频支持)智能负载均衡支持AP均衡组支持：自动发现并灵活设定安全防御静态黑名单支持动态黑名单支持白名单支持非法AP检测支持：基于SSID、BSSID、设备OUI等非法AP反制支持防无线泛洪攻击(Flooding Attack)支持防仿冒攻击(Spoof Attack)支持防Weak IV攻击支持wIPS支持：可实现7层移动安全防御二层协议ARP代答支持802.1p支持802.

29、1q支持802.1x支持广播风暴抑制支持IP协议IPv4协议支持Native IPv6(原生)支持IPv6 SAVI支持IPv6 Portal支持组播协议MLD Snooping支持IGMP Snooping支持组播组数目256组播转单播(IPv4、IPv6)支持：可依据环境设置单播接入阈值网管与配置管理方式支持：WEB、SNMP v1/v2/v3、RMON等配置方式支持：WEB、CLI、TELNET、FTP等绿色节能按需定时关闭AP射频口支持按需定时关闭无线服务支持逐包功率控制(PPC)支持WLAN综合应用RF Ping支持远程探针分析支持实时频谱防护(RTSG)支持智能无线业务感知(wIAA)支持/状态防火墙报文发送公平调度机制支持802.11n报文发送抑制支持基于连接状况的流量整形支持调整AP间信道共享支持调整AP间信道重用支持射频接口发送速率调整算法支持忽略弱信号无线报文支持禁止弱信号客户端接入支持禁止组播报文缓存支持Blink状态检测(部分AP)支持新增特性策略转发支持VLAN池支持Bonjour gateway支持802.11w支持802.11k支持Hotspot2.0 (802.11u)支持NAT支持VPN支持