H3C WX2500H係列新一代企業級核心多業務無線控製器

H3C WX2500H是杭州華三通信技術有限公司(以下簡稱H3C公司)自主研發的網關型無線控製器 (AC,Access Controller)。 WX2500H係列無線控製器務類型豐富,集精細的用戶控製管理、完善的射頻資源管理、7X24小時無線安全管控、二三層快速漫遊、靈活的QoS控製、IPv4&IPv6雙棧等多功能於一體,提供強大的有線、無線一體化接入能力。H3C WX2500H係列無線控製器是專門為分支機構,小型園區設計而生。把網關、AC功能集合一體,減少了企業在組網中,購買設備的種類和數量,減少投資。配合H3C Fit AP產品係列,主流的熱門功能如WIPS、防火牆等功能全部具備。同時具有豐富的端口類型,尤其自帶兩個USB接口,可連接企業相關外設。H3C WX2500H係列無線控製器包含WX2510H、WX2540H和WX2560H三款型號*。配合H3C Fit AP產品係列,可以滿足小型企業園區WLAN接入、分支機構熱點覆蓋等無線場景的典型應用。

提供對802.11ac AP的管理

WX2500H無線控製器在支持對傳統802.11a/b/g/n/ac  AP管理的同時,還可以與H3C基於802.11ac  wave2協議的AP配合組網,從而突破傳統無線網絡串行通信的機製,促使無線頻譜資源利用率成倍提升,有效接入用戶數得到了極大的提高,有效減少無線網絡的部署開銷,極大提升了高密度用戶環境下的用戶體驗。

基於全新的操作係統

WX2500H係列無線控製器采用H3C新一代V7係統開發,新的操作係統極大提升產品的性能和可靠性,能夠滿足企業市場上越來越複雜的網絡應用,相比上一代操作係統,V7係統具有多方麵的優勢:

* 多核控製:在V7係統中可以根據需要調整CPU控製核和轉發核的分配比例,可根據需求達到一個最佳平衡,能夠充分提升CPU的控製計算及數據計算的能力,同時提供強大的並發計算能力。

* 支持用戶態多任務:V7係統采用全新的軟件運行權限控製方式,絕大多數網絡業務都運行在用戶態,不同網絡業務占用不同的任務,每個任務占用獨立的資源,某一任務運行錯誤隻局限在本任務之內,不影響其他任務,使係統能夠保持安全可靠地運行。

* 用戶態任務監控:V7係統具有任務監控功能,係統專門監控用戶態的各個任務的運行情況,如果用戶態任務出現異常情況,係統會重載該任務,使業務能夠迅速恢複。

* 采用新的單獨業務升級的方式:V7係統支持單獨的業務升級,隻升級單獨的某個業務模塊而不需更新整個軟件,相對公司前一代操作係統,可大大減少重啟升級的次數,保證升級的安全性,有效提供網絡穩定性。

提供靈活的數據轉發方式

傳統的無線控製器部署一般采用集中式轉發模式,AC可以對報文進行全麵控製和安全監管,但所有的無線業務流量需要到AC進行統一處理,核心鏈路帶寬和AC轉發能力容易成為瓶頸。特別是AP和AC通過廣域網方式進行連接時,AP作為數據接入設備部署在分支機構,而AC部署在總部,所有用戶數據由AP發送到AC,再由AC進行集中轉發,導致轉發效率低下。WX2500H係列無線控製器可以支持集中式轉發、分布式轉發、策略轉發,用戶根據業務需要和網絡實際情況可以靈活設置轉發方式。

WX2500H係列無線控製器同時支持集中認證本地轉發的組網方式,在數據流本地轉發的情況下,提供802.1X和Portal的集中認證和管理。

支持運營級無線用戶接入控製和管理

基於用戶的接入控製是WX2500H無線控製器產品的一大特色,User  Profile(用戶配置文件)提供一個配置模板,能夠保存預設配置(一係列配置的集合)。用戶可以根據不同的應用場景為User  Profile配置不同的內容,比如CAR(Committed Access Rate,承諾訪問速率)策略和QoS(Quality of  Service,服務質量)策略等。

用戶訪問設備時,需要先進行身份認證。在認證過程中,認證服務器會將User  Profile名稱下發給設備,設備會立即啟用User  Profile裏配置的具體內容。當用戶通過認證訪問設備時,設備將通過這些具體內容限製用戶的訪問行為。當用戶下線時,係統會自動禁用User  Profile下的配置項,從而取消User Profile對用戶的限定。因此,User  Profile適用於限製上線用戶的訪問行為,沒有用戶上線(可能是沒有用戶接入、或者用戶沒有通過認證、或者用戶下線)時,User  Profile是預設配置,並不生效。

另外,WX2500H無線控製器還支持基於MAC的認證接入控製方式,這種方式不但可以使得客戶在AAA服務器上對用戶組進行權限的配置和修改,同時支持對具體用戶的權限的配置,這種精細的用戶權限控製大大增強了無線網絡的可用度,網管人員可以輕鬆通過該方式對不同級別的人或人群進行接入權限分配。

基於MAC的VLAN同樣也是WX2500H無線控製器的一大特色,在控製策略上,管理員可以把相同性質的用戶(MAC)劃分到同一個VLAN,同時在控製器上基於VLAN配置安全策略,這樣做既可以簡化係統配置,又可以做到用戶級粒度的精細管理。

出於安全性或計費等考慮,係統管理員可能希望控製無線用戶接入到網絡中的位置。WX2500H無線控製器支持基於AP位置的用戶接入控製。當無線用戶接入網絡時,可以通過認證服務器向AC下發允許用戶接入的AP列表,在AC上進行接入控製,從而達到限製無線用戶隻能接入到指定位置的AP的目的。

提供可靠的網關功能

WX2500H定位於中小企業,分支機構的網關,集成了網關和AC雙功能。WAN口為光電Combo 接口,支持PPPOE、NAT網關功能、動態IP地址、靜態IP地址設定功能。

支持Bonjour Gateway

WX2500H商業無線控製器支持Bonjour Gateway功能,使小型企業內部可以很方便的使用Apple 設備,如打印機、電視機和平板電腦。

支持分層AC架構

分層AC架構是H3C創新提出的針對市場上多級組網需求的全新組網模型,分層AC采用類似大型連鎖企業機構集中控製分級管理的架構方式,由一個總的核心層管理AC下掛多個本地接入層AC,接入層AC直接下掛AP。接入層AC主要功能包括AP接入和數據轉發等實時性業務,核心層AC主要做網絡的管理控製和集中認證等非實時性全局業務,另外核心層AC也具有普通AC的接入AP及數據轉發功能。核心層AC為高性能AC,布置在匯聚層;而接入層AC可以由標準AC、All-in-one   AC(具備路由、DPI功能)或有線無線一體化交換機組成,跟現有網絡平級布置;分層AC的這種架構模型將有線無線一體化理念推向新的高度,能夠適用於大規模無線網絡部署。分層AC模型天然支持總部和分支的應用場景,核心鏈路帶寬和核心層AC轉發能力不再成為瓶頸,核心層AC集中控製,接入層AC和下掛AP能夠很方便的實現自動升級和配置同步,極大地簡化了版本升級工作。在漫遊場景,接入層AC負責AP間切換,漫遊性能也得到極大提升。

支持信道智能切換

無線局域網中,信道是非常稀缺的資源,每個AP隻能夠工作在非常有限的非重疊信道上,比如對於2.4G網絡,隻有3個非重疊信道,所以如何智能地為AP分配信道是無線應用的關鍵。

無線局域網工作的頻段存在大量可能的幹擾源,如雷達、微波爐,它們在網絡中的出現將幹擾AP的正常工作。通過信道智能切換功能,可以保證每個AP能夠分配到最優的信道,盡可能地減少和避免相鄰信道幹擾,而且通過實時信道幹擾檢測,可以讓AP實時避開雷達,微波爐等幹擾源。

支持智能AP負載分擔

802.11協議把無線漫遊的決策交給了無線客戶端,無線客戶端一般會根據AP信號強度(RSSI)選擇AP,這很容易導致大量的客戶端僅僅因為某個AP信號較強而連接到同一個AP上。由於這些客戶端共享無線媒介,導致每個客戶端的網絡吞吐將大量減少。

智能負載分擔方法可以實時地分析無線客戶端的位置,動態地確定在當前時刻和當前位置下哪些AP可以彼此分擔負載,通過控製無線客戶端接入的AP,來實現這些AP間的負載分擔。係統不僅支持按照用戶在線會話數的負載分擔,而且支持按照用戶流量負載的分擔。

支持7層移動安全檢測/防禦(wIDS/wIPS)

WX2500H無線控製器支持的移動安全防禦模式有:黑名單、白名單、Rogue防禦、畸形報文檢測、非法用戶下線、基於可預設升級的Signature   MAC層攻擊檢測與反製(例如:DoS攻擊,Flood攻擊、中間人攻擊)等。配合無線應用控製台內置的海量智能專家知識庫,可以獲得靈活的無線安全策略判斷依據,對於明確的非法攻擊源(AP或終端等),實現可視的物理位置跟蹤監控和交換機物理端口移除。

通過配合H3C專業核心層防火牆/IPS設備,更可以實現移動園區的7層立體安全防禦,滿足真正的從無線(802.11)到有線(802.3)端到端安全防護需求。

支持RealTime Spectrum Guard(實時頻譜保護)模式

RealTime Spectrum Guard(RTSG)是H3C創新提出的針對無線環境頻譜狀態的專業監控方案。全係列無線控製器可以和內置射頻采集模塊的Sensor AP,實現深度融合的射頻監控和實時頻譜防護。

RTSG的控製台融合部署於H3C  iMC智能管理中心,通過CAPWAP管理隧道,與Sensor  AP進行通信和數據采集,實現7X24小時的無線環境質量監控、無線網絡能力趨勢評估以及非許可幹擾告警。通過圖形化方式,主動探測和識別所有2.4GHz/5GHz波段的射頻幹擾源(Wi-Fi或非Wi-Fi),可提供實時FFT圖,頻譜密度圖、光譜圖、占空比圖、事件光譜圖、頻道功率、幹擾功率等;可自動識別幹擾源,確定有問題的無線設備的位置,確保無線網絡發揮最佳的性能。結合H3C  iAR智能報表組件,可實現全覆蓋區內的射頻質量曆史記錄的存儲、追溯、回放等,自動生成客戶化的趨勢、合規和審計報告。

針對用戶無線環境監管的不同層次需求,RTSG方案的部署可以靈活采用Local mode或Monitor Mode。當工作在Local Mode時,可以在獲得有效的頻譜防護前提下,保持正常的用戶接入和數據包轉發。

支持智能無線業務感知(wIAA)

WX2500H無線控製器支持智能感知無線業務流量,實現基於無線用戶狀態的彈性策略識別與管理,優化語音及視頻業務承載。

內置射頻優化引擎(ROE)

WX2500H無線控製器內置針對AP的射頻優化引擎(RF  Optimizing  Engine),通過基於特征和協議的射頻優化,有效提升無線部署中高密度接入、流媒體傳輸等場景中的應用加速能力和質量保障效果。其中包含:多用戶公平調度、混合接入公平、過濾幹擾、速率最優、頻譜導航、組播增強(IPv4/IPv6)、逐包功率控製和智能帶寬保障等。

支持802.1x認證,MAC地址認證,Portal認證等

WX2500H無線控製器支持多種認證方式:

*   802.1x認證:WX2500H無線控製器支持TLS、PEAP、TTLS、MD5、SIM卡等多種802.1x的認證方式,同時還支持802.1x本地認證方式,提供對MD5、TLS、PEAP這幾種主流認證方式的支持,用戶不再需要額外配置AAA服務器。WX2500H無線控製器還支持通過802.1x認證後動態授權VLAN和ACL功能,對用戶的策略可以事先設定好,用戶認證時,係統自動配置客戶權限。

*  MAC地址認證:WX2500H無線控製器支持MAC地址認證,對一些手持終端(例如:Wi-Fi  phones、手持移動終端等)並不方便采取電腦上的認證方式,MAC地址認證卻可以輕鬆解決該問題,實現在控製器或者AAA服務器上配置好合法的MAC地址,這些MAC地址對應的終端就可以被允許被接入到網絡,而事先沒有被配置的非法終端則不能接入無線網絡,該功能極大地方便了例如無線醫療係統等應用,MAC地址認證可以確保隻有醫院的PDA工作終端才能接入到無線網絡,而拒絕病人的無線PDA使用專用無線網絡。

*  Portal認證:WX2500H無線控製器提供內置的Portal認證服務器。該認證方式無需客戶端配合,直接通過瀏覽器WEB  Portal頁麵作為認證通道,當用戶認證通過後,可以靈活跳轉到指定訪問首頁並啟動相應授權和計費。同時也可以根據策略要求,靈活推送定製Portal頁麵,達到廣告宣傳、信息傳遞的作用,廣泛使用在無線校園、無線城市、訪客接入等應用場景。

支持IPv4/IPv6雙協議棧(Native IPv6)

WX2500H無線控製器支持無線客戶的IPV6接入。在隧道起點AP上,由於設備對IPv6感知,所以可以做到IPv6優先級到隧道優先級映射等;在AC側,同樣可以對IPv6報文進行ACL過濾等複雜的控製和過濾。

WX2500H無線控製器同樣可以部署在IPv6網絡中,AC和AP之間自動協商成IPv6隧道。AC和AP完全工作在IPv6狀態時,無線控製器仍能正確地感知IPv4,並能處理無線客戶的IPv4報文。WX2500H無線控製器IPv4/6靈活的適應能力,能滿足客戶在IPv4到IPv6網絡遷移中的各種複雜的應用,既能在IPv6孤島中給客戶提供IPv4的服務,同時也能在IPv4孤島中讓用戶輕鬆通過IPv6協議登錄到網絡。

針對校園網層出不窮的IPv6偽造報文攻擊,WX2500H無線控製器支持IPv6  SAVI(Source Address  Validation,源地址有效性驗證)技術。通過對地址分配協議的偵聽獲取用戶的IP地址,保證隨後的應用中能夠使用正確地址上網,且不可偽造他人IP地址,保證了源地址的可靠性。同時,通過IPv6  SAVI和Portal技術的結合,進一步保證了所有上網用戶報文的真實性和安全性。

提供端到端的QoS

WX2500H無線控製器基於Comware平台開發,不但對Diff-Serv標準完善支持,同時增加了對IPv6協議的QoS支持。

QoS  Diff-Serv  模型中主要包括流分類、流量監管(Policing)、隊列管理、隊列調度(Scheduling)等,完整實現了標準中定義的EF、AF1~AF4、BE等六組PHB及業務,使網絡運營商可為用戶提供具有不同服務質量等級的服務保證,使Internet真正成為同時承載數據、語音和視頻業務的綜合網絡。

支持快速的二、三層漫遊

H3C公司的集中式無線架構不但能方便地實施二層漫遊,而且非常有利於跨三層的漫遊實現,用Fat   AP部署的WLAN網絡,由於AP之間傳遞的信息有限,導致垮三層的漫遊實現及其麻煩,集中式架構非常容易解決跨三層漫遊的問題,WX2500H無線控製器支持二、三層漫遊,漫遊域不受子網的限製。這種優秀的漫遊特性,可以讓客戶在規劃無線網絡時,無需過多考慮現有網絡的規劃,更多關注在無線信號的覆蓋即可,這種方式大大簡化了前期的網絡規劃,減少了網絡規劃成本。

傳統模式下,當無線用戶終端使用802.1x作為802.11接入認證和密鑰交互的手段時,無線用戶終端和AP間的交互報文會非常的多。當無線用戶終端在兩個AP間漫遊時,如果無線用戶終端在新AP接入的過程完全遵從完整的802.1x的交互過程,勢必造成漫遊切換的時間過長,對於某些對漫遊切換時間敏感的業務(例如語音業務),這樣的長切換時間是無法忍受的。WX2500H無線控製器采用Key  caching技術完成漫遊時用戶的快速切換,Key  caching技術在用戶的安全接入和快速漫遊間做了一個很好的平衡,可以使無線用戶終端在兩個AP間進行漫遊時不必重新進行完整的802.1x認證交互過程,同時又能保證用戶身份的識別和密鑰使用的連續性;無線用戶采用快速漫遊方式,單AC內漫遊時間不超過50ms,滿足了語音業務的苛刻需求。

硬件規格

項目

WX2510H

WX2540H

WX2560H

外形尺寸(寬×深×高)

220mm*146mm*28mm

220mm*145mm*22mm

330 mm *230 mm *43.6 mm

滿配重量

0.95kg

0.9kg

1.9kg

吞吐量

1.6Gbps

1.6Gbps

2Gbps

接口

WAN 1*GE + LAN 4*GE(PoE+) + 1*USB

WAN 1*GE + 1* SFP + LAN 4*GE + 2*USB

WAN 2*GE + LAN 4*GE + LAN 2*GE Combo + 1*USB + 1*SD Card slot

電源

90W電源適配器,220V交流輸入,52.5V直流輸入

24W電源適配器,220V交流輸入,12V直流輸入

36W電源適配器,220V交流輸入,12V直流輸入

工作/存儲環境溫度

0°C~45°C/-40°C~70°C

工作/存儲環境相對濕度(非凝露)

5%~95%

安全規範

UL 60950-1

CAN/CSA C22.2 No 60950-1

IEC 60950-1

EN 60950-1/A11

AS/NZS 60950

EN 60825-1

EN 60825-2

EN60601-1-2

FDA 21 CFR Subchapter J

EMC

ETSI EN 300 386 V1.3.3:2005

EN 55024: 1998+ A1: 2001 + A2: 2003

EN 55022 :2006

VCCI V-3:2007

ICES-003:2004

EN 61000-3-2:2000+A1:2001+A2:2005

EN 61000-3-3:1995+A1:2001+A2:2005

AS/NZS CISPR 22:2004

FCC PART 15:2005

GB 9254:1998

GB/T 17618:1998

MTBF

≥154年

軟件規格

項目

支持特性

WX2510H

WX2540H

WX2560H

基礎性能

缺省管理AP數

0

License步長

1/8/16

1/8/16

8/16/32

最大管理AP數

16

48

128

最大配置AP數

32

96

256

最大用戶數

1024

1536

3072

ARP表項

2048

3072

6144

ND表項

2048

3072

6144

802.11MAC

802.11協議簇

支持

多SSID(每射頻口)

16

隱藏SSID

支持

11G保護

支持

11n only

支持

用戶數限製

支持:基於SSID、Radio的用戶數限製

用戶在線檢測

支持

用戶無流量自動老化

支持

多國家碼部署

支持

無線用戶隔離

支持:

1、無線VLAN的無線用戶二層隔離

2、基於SSID的無線用戶二層隔離

40MHz模式的20MHz/40MHz自動切換

支持

本地轉發

支持:基於SSID+VLAN的本地轉發

CAPWAP

自動輸入AP序列號

支持

AC發現(DHCP option43、DNS方式)

支持

IPv6隧道

支持

時鍾同步

支持

Jumbo幀發送

支持

AP雙上行隧道鏈路

支持

通過AC配置AP基本網絡參數

支持:配置靜態IP、VLAN、接入的AC地址等

AC和AP之間支持L2、L3層組網

支持

AP與AC間穿越NAT

支持

漫遊能力

同一AC內,不同AP下二、三層漫遊

支持

不同AC間,不同AP下二、三層漫遊

支持

路由特性

NAT

支持

PPPoE

支持

DDNS

支持

SSL VPN

支持

IPSEC VPN

支持

RIP

支持

GRE

支持

接入控製

Open system、Shared-Key

支持

WEP-64/128、動態WEP

支持

WPA、WPA2

支持

TKIP

支持

CCMP

支持(11n推薦)

WAPI

可選支持

SSH v1.5/v2.0

支持

無線EAD(終端準入控製)

支持

Portal認證

支持:遠程、外掛服務器

Portal頁麵推送

支持:基於SSID、AP的Portal頁麵推送

Portal穿越Proxy

支持

802.1x認證

支持:

EAP-TLS、EAP-TTLS、EAP-PEAP、EAP-MD5、EAP-SIM、LEAP、EAP-FAST、EAP offload (僅支持TLS, PEAP)

本地認證

支持:802.1X、Portal、MAC認證

LDAP認證

支持:

1、支持802.1X與Portal接入

2、802.1X接入時支持EAP-GTC和EAP-TLS

基本位置的用戶接入控製

支持

訪客接入

支持

VIP通道

支持

ARP防攻擊

支持:無線SAVI

SSID防假冒

支持:用戶名與SSID綁定

基於域、SSID選擇AAA服務器

支持

AAA服務器備份

支持

無線用戶的本地AAA服務器

支持

TACACS+

支持

QoS

優先級映射

支持

L2-L4流分類

支持

流量限速

支持:流控粒度8Kbps

802.11e/WMM

支持

支持基於AP的帶寬限速

支持

基於用戶角色(User Profile)的接入控製

支持

智能帶寬限速-基於帶寬均分算法

支持

智能帶寬限速-基於每用戶指定帶寬的算法

支持

智能帶寬保障

支持:

在流量未擁塞時,確保不同優先級SSID下的報文都可以自由通過;在流量擁塞時,確保每個SSID可以保持各自約定的最小帶寬

QoS Optimization for SVP phones

支持

CAC(Call Admission Control)

支持:基於用戶數/帶寬的CAC

端到端QoS

支持

AP上行口限速

支持

無線資源管理

國家碼鎖定

支持

靜態信道、功率設置

支持

動態信道、功率設置

支持

動態速率調節

支持

空口黑洞檢測和補償

支持

負載均衡維度

支持:基於流量、用戶、頻段(雙頻支持)

智能負載均衡

支持

AP均衡組

支持:自動發現並靈活設定

安全防禦

靜態黑名單

支持

動態黑名單

支持

白名單

支持

非法AP檢測

支持:基於SSID、BSSID、設備OUI等

非法AP反製

支持

防無線泛洪攻擊(Flooding Attack)

支持

防仿冒攻擊(Spoof Attack)

支持

防Weak IV攻擊

支持

wIPS

支持:可實現7層移動安全防禦

二層協議

ARP代答

支持

802.1p

支持

802.1q

支持

802.1x

支持

廣播風暴抑製

支持

IP協議

IPv4協議

支持

Native IPv6(原生)

支持

IPv6 SAVI

支持

IPv6 Portal

支持

組播協議

MLD Snooping

支持

IGMP Snooping

支持

組播組數目

256

組播轉單播(IPv4、IPv6)

支持:可依據環境設置單播接入閾值

網管與配置

管理方式

支持:WEB、SNMP v1/v2/v3、RMON等

配置方式

支持:WEB、CLI、TELNET、FTP等

綠色節能

按需定時關閉AP射頻口

支持

按需定時關閉無線服務

支持

逐包功率控製(PPC)

支持

WLAN綜合應用

RF Ping

支持

遠程探針分析

支持

實時頻譜防護(RTSG)

支持

智能無線業務感知(wIAA)

支持/狀態防火牆

報文發送公平調度機製

支持

802.11n報文發送抑製

支持

基於連接狀況的流量整形

支持

調整AP間信道共享

支持

調整AP間信道重用

支持

射頻接口發送速率調整算法

支持

忽略弱信號無線報文

支持

禁止弱信號客戶端接入

支持

禁止組播報文緩存

支持

Blink狀態檢測(部分AP)

支持

新增特性

策略轉發

支持

VLAN池

支持

Bonjour gateway

支持

802.11w

支持

802.11k

支持

Hotspot2.0 (802.11u)

支持

NAT

支持

VPN

支持



相關手冊