![](../../uploadfile/20150301213314334.jpg)
H3CWX系列无线控制器
产品概述
H3C WX5000系列无线控制器是杭州华三通信技术有限公司(以下简称H3C公司)自主研发的系列无线控制器(AC,Access Controller)。H3C WX5000系列无线控制器具有容量适中、高可靠性、业务类型丰富等特点,提供了丰富的有线数据和无线数据的处理功能。H3C WX5000系列无线控制器集精细的用户控制管理、完善的RF管理及安全机制、快速漫游、超强的QoS及IPv4&IPv6等多功能于一体,提供强大的WLAN接入控制功能。H3C WX5000系列无线控制器定位在企业网,城域网WLAN接入,是大中型企业园区WLAN接入、无线城域网覆盖、热点覆盖等应用环境的最理想的接入控制器。
H3C WX5000系列无线控制器包括H3C WX5002、WX5004无线控制器和LSWM1WCM10、LSWM1WCM20无线控制业务板,是H3C公司自主研发的无线控制器,配合 H3C公司自主研发的Fit AP (H3C WA2100系列/WA2200系列/WA1208E系列/WA2600(802.11n)系列),可以满足大多数的无线部署典型应用。
l WX5004基础规格支持64个AP,通过license32升级(最多支持6个license32),最多可以支持256个AP,4K个无线用户,可以满足大型无线网络的部署需求。
l WX5002系列根据支持AP数量的不同,有两款型号:WX5002-64和WX5002-128。WX5002-64基础规格支持32个AP,通过license32升级(最多支持1个licnese32),最多支持64个AP,2K个无线用户,可以满足中型无线网络的部署需求;WX5002-128不支持通过license升级,最大支持128个AP。
l LSWM1WCM10为H3C S5800系列交换机大容量无线控制业务板卡,基础规格支持64个AP,通过license32升级(最多支持6个license32),最多可以支持256个AP,4K个无线用户,可以满足大型无线网络的部署需求。
l LSWM1WCM20为H3C S5800系列交换机低容量无线控制业务板卡,基础规格支持32个AP,通过license32升级(最多支持3个licnese32),最多可以支持128个AP,2K个无线用户,可以满足中型无线网络的部署需求。
H3C公司使用创新的基于认证的组网来提供网络服务,这种方法基于用户身份而非端口或设备,以便跨越整个网络实现移动性和安全性。当用户漫游网络时,通过WLAN网络范围内的无线控制器的信息交换,以实现在整个网络范围内执行一致的访问和安全策略。同时采用WPA/WPA2和802.1X认证结合的AES、TKIP以及WEP加密等功能增强了网络安全。
H3C WX5000系列无线控制器与H3C FIT AP配合组网,可以方便的部署于任何现有的二层网络或三层网络之中,控制器和AP通过IETF制定的CAPWAP协议进行互联而无需针对现在有网络进行重新配置。
主要特征
提供对802.11n AP的管理
H3C WX5000系列无线控制器在支持对传统802.11a/b/g AP管理的同时,还可以与H3C基于802.11n协议的WA2600系列AP配合组网,从而提供相当于传统802.11a/b/g网络6倍以上的无线接入速率,能够覆盖更大的范围,使无线多媒体应用成为现实。
l 提供灵活的数据转发方式
支持集中式转发和分布式转发。单一的集中式转发,AC虽然能对报文进行全面控制,但所有的无线业务流都要到AC进行统一处理,使得AC的转发能力很容易成为瓶颈。特别是当通过广域网方式转发时,AP作为数据接入设备部署在分支机构,而无线控制器部署在总部,所有用户数据由AP发送到无线控制器,再由无线控制器进行集中转发,导致转发效率低下。
H3C WX5000系列无线控制器支持两种转发方式,用户可以根据需要给SSID设置转发的类型。
l 运营级的无线用户接入控制和管理
基于用户的接入控制是H3C WX5000系列无线控制器产品的一大特色,User Profile(用户配置文件)提供一个配置模板,能够保存预设配置(一系列配置的集合)。用户可以根据不同的应用场景为User Profile配置不同的内容,比如CAR(Committed Access Rate,承诺访问速率)策略和QoS(Quality of Service,服务质量)策略等。
用户访问设备时,需要先进行身份认证。在认证过程中,认证服务器会将User Profile名称下发给设备,设备会立即启用User Profile里配置的具体内容。当用户通过认证访问设备时,设备将通过这些具体内容限制用户的访问行为。当用户下线时,系统会自动禁用User Profile下的配置项,从而取消User Profile对用户的限定。因此,User Profile适用于限制上线用户的访问行为,没有用户上线(可能是没有用户接入、或者用户没有通过认证、或者用户下线)时,User Profile是预设配置,并不生效。
另外,H3C WX5000系列无线控制器还支持基于MAC的认证接入控制方式,这种方式不但可以使得客户在AAA服务器上对用户组进行权限的配置和修改,同时支持对具体用户的权限的配置,这种精细的用户权限控制大大增强了无线网络的可用度,网管人员可以轻松通过该方式对不同级别的人或人群进行接入权限分配。
基于MAC的VLAN同样也是H3C WX5000系列无线控制器的一大特色,在控制策略上,管理员可以把相同性质的用户(MAC)划分到同一个VLAN,同时在控制器上基于VLAN配置安全策略,这样做既可以简化系统配置,又可以做到用户级粒度的精细管理。
l 提供基于AP位置的用户接入控制
出于安全性或计费等的考虑,系统管理员可能希望控制无线用户接入到网络中的位置。H3C WX5000系列无线控制器支持基于AP位置的用户接入控制。当无线用户接入网络时,可以通过认证服务器向AC下发允许用户接入的AP列表,在AC上进行接入控制,从而达到限制无线用户只能接入到指定位置的AP的目的。
l 高可靠的备份功能
(1) 1+1快速备份
H3C WX5004无线控制器及S5800系列交换机大容量无线控制业务板卡支持300毫秒业务备份,AP会同时和两台无线控制器建立CAPWAP链路,一台作为主控制器,另外一台作为备份控制器,但只有和主控制器建立的CAPWAP链路处于工作状态。当主控制器异常down机时,备份控制器和主控制器之间的心跳检测机制可以保证在300毫秒之内检测到主设备的异常,并通知AP将主控制器CAPWAP链路切换,保证控制信号的不间断传送。
(2) N+1备份
当多台WX5000系列控制器部署时,N+1备份方案为可靠性和经济性折中的最好方案,其中N台WX5000各自独立工作,外加一台WX5000作为备份AC,N台AC中任何一台出现故障,都会切换到备份AC上。而当主AC恢复后,AP将自动回切到主AC上,可保障AP尽量同主AC连接。WX5000系列无线控制器每台备份设备最多可以支持4台主设备,即4+1,(WX5002-128系列支持2+1)。
(3) N+N备份
当多台WX5000系列控制器部署时,N+N备份可以实现最灵活的备份方案。 当有N台WX5000无线控制器同时工作时,AP初次会选择一个最优的控制器进行接入,当链接出现问题的时候,AP会在网络中重新选择一个新的最优控制器重新进行注册接入,进而实现了AP的接入备份,以及AC间负载均担。AP对最优控制器的选择,可以根据控制器负载情况动态计算(AC间动态负载均担)或事先指定控制器优先级等多种方式,十分灵活。实现N+N备份,组网中总AP数量只要小于(总AC数量-1)台控制器能够管理的AP规格即可满足备份的要求。
l 信道智能切换
无线局域网中,相邻无线AP需要尽可能工作在不同信道中,以减少相邻信道干扰。对于无线局域网,信道是非常稀缺的资源,每个AP只能够工作在非常有限的非重叠信道上,比如对于2.4G网络,只有3个非重叠信道,所以如何智能地为AP分配信道是无线应用的关键。同时,无线局域网工作的频段存在大量可能的干扰源,如雷达、微波炉,它们在网络中的出现将干扰AP的正常工作。通过信道智能切换功能,可以保证每个AP能够分配到最优的信道,尽可能地减少和避免相邻信道干扰,而且通过实时信道干扰检测,可以让AP实时避开雷达,微波炉等干扰源。
l 智能AP负载分担
WLAN网络的IEEE标准802.11协议把无线漫游的决策交给了无线客户端,无线客户端一般会根据AP信号强度(RSSI)选择AP,这很容易导致大量的客户端仅仅因为某个AP信号较强而连接到同一个AP上。由于这些客户端共享无线媒介,导致每个客户端的网络吞吐将大量减少。
智能负载分担方法可以实时地分析无线客户端的位置,动态地确定在当前时刻和当前位置下哪些AP可以彼此分担负载,通过控制无线客户端接入的AP,来实现这些AP间的负载分担。系统不仅支持按照用户在线会话数的负载分担,而且支持按照用户流量负载的分担。
l 无线入侵检查(Wireless Intrusion Detection System、WIDS)
(1) 非法AP检测
非法设备的告警和攻击防护功能使得H3C WX5000系列无线控制器可以自动监测WLAN网络中的非法设备(例如Rouge AP,或者Ad Hoc 无线终端),并实时上报网管中心,同时对非法设备的攻击可以进行自动防护,最大程度地保护无线网络。
(2) 白名单功能
H3C WX5000系列无线控制器支持静态配置白名单功能,该功能一旦启用,只有白名单上的无线用户才被认为是合法用户,其他非法用户的报文全部在AP上被丢弃,从而减少非法报文对无线网络的冲击。
(3) 黑名单功能
H3C WX5000系列无线控制器支持静态配置黑名单和动态黑名单功能,用户可以通过配置方式或者控制器实时检测侦听的方式来确定设备是否被加入黑名单,被加入到黑名单中的设备发过来的报文全部在AP上丢弃,从而减少攻击报文对无线网络的冲击。
(4) 无线协议攻击防御
H3C WX5000系列无线控制器支持多种攻击的检测,例如DOS攻击,Flood攻击,去认证、去连接报文的仿冒检测,以及无线用户Weak IV检测。当控制器检测到上述的攻击后,会产生告警或者日志,提醒管理员进行相应的处理。特别无线协议攻击防御可以和动态黑名单配合使用,当控制器检测到攻击时,可以将发起攻击的无线客户端动态添加到动态黑名单中,从而保证WLAN系统不再被该设备攻击。
l 支持802.1x认证,MAC地址认证,Portal认证,PPPoE和WAPI认证
H3C WX5000系列无线控制器支持多种认证方式:
(1) 802.1x认证,H3C WX5000系列控制器,支持TLS、PEAP、TTLS、MD5、SIM卡等多种802.1x的认证方式,同时还支持802.1x本地认证方式,提供对MD5、TLS、PEAP这几种主流认证方式的支持,用户不再需要额外配置AAA服务器。 H3C WX5000系列无线控制器还支持通过802.1x认证后动态授权VLAN和ACL功能,对用户的策略可以事先设定好,用户认证时,系统自动配置客户权限。
(2) MAC地址认证,H3C WX5000系列控制器还支持MAC地址认证,对一些手持终端(例如:WiFi Phone、手持移动终端等)并不方便采取电脑上的认证方式,MAC地址认证却可以轻松解决该问题,实现在控制器或者CAMS服务器上配置好合法的MAC地址,这些MAC地址对应的终端就可以被允许被接入到网络,而事先没有被配置的非法终端则不能接入无线网络,该功能极大地方便了例如无线医疗系统等应用,MAC地址认证可以确保只有医院的PDA工作终端才能接入到无线网络,而拒绝病人的无线PDA使用专用无线网络。
(3) Portal认证,H3C WX5000系列控制器还支持Portal认证,一些企业外部的客户希望使用无线网络,来访问Internet,很可能外部员工并没有安装例如802.1x客户端软件,这时,Portal认证提供了很好的认证方式。
(4) PPPoE认证,H3C WX5000系列控制器还支持PPPoE认证,通过PPPoE的成熟的认证,计费功能,可以方便做到按流量计费等高级的计费方式,可以满足一些客户的运营级需求。
(5) WAPI认证,H3C WX5004无线控制器及S5800大容量无线控制业务板卡支持中国自主知识产权的WAPI认证,通过WAPI认证和加密,可以提供更加安全的接入方式。
l 支持IPv6
H3C WX5000系列无线控制器支持无线客户的IPV6接入,这时IPv6用户的网关不在无线控制器上,需要专门的IPv6网关,控制器对用户的IPv6报文感知,在隧道起点AP上,由于设备对IPv6感知,所以可以做到IPv6优先级到隧道优先级映射等,在AC侧,同样可以对IPv6报文进行ACL过滤等复杂的控制和过滤。
H3C WX5000系列无线控制器同样可以部署在IPv6网络中,AC和AP之间自动协商成IPv6隧道。AC和AP完全工作在IPv6状态时,无线控制器仍能正确地感知IPv4,并能处理无线客户的IPv4报文。H3C WX5000系列无线控制器IPv4/6灵活的适应能力,能满足客户在IPv4到IPv6网络迁移中的各种复杂的应用,既能在IPv6孤岛中给客户提供IPv4的服务,同时也能在IPv4孤岛中让用户轻松通过IPv6协议登录到网络。
l 端到端的QoS
H3C WX5000系列无线控制器基于Comware V5平台开发,不但对Diff-Serv标准的完善支持,同时增加了对IPv6协议的QoS支持。
QoS Diff-Serv 模型中主要包括流分类、流量监管(Policing)、队列管理、队列调度(Scheduling)等,完整实现了标准中定义的EF、AF1~AF4、BE等六组PHB及业务,使网络运营商可为用户提供具有不同服务质量等级的服务保证,使Internet真正成为同时承载数据、语音和视频业务的综合网络。
l 高性能大容量MESH网关
WX5000系列无线控制器支持IEEE 802.11s MESH网络标准;WLAN Mesh网络是一种新的无线局域网类型。与传统的WLAN不同的是,WLAN Mesh网络中的AP是无线连接的,而且AP间可以建立多跳的无线链路。因为只是骨干网进行了变动,对于终端用户来讲,传统的WLAN和WLAN Mesh网络没有任何区别。WLAN Mesh技术彻底解放了有线的束缚,除了可以应用于企业网、办公网、校园网等传统WLAN网络常用场景外,广泛应用于大型仓库、港口码头、城域网、轨道交通、应急通信、制造等应用场景。
成本角度,传统的WLAN中,AP之间需要用电缆,交换机,电源等设备建立连接,成本较高,并且需要大量的时间完成部署。WLAN Mesh技术使得管理员可以轻松的部署质优价廉的无线局域网。
l 快速的二、三层漫游
H3C公司的集中式无线架构不但能方便地实施二层漫游,而且非常有利于跨三层的漫游实现,用Fat AP部署的WLAN网络,由于AP之间传递的信息有限,导致垮三层的漫游实现及其麻烦,集中式架构非常容易解决跨三层漫游的问题,H3C WX5000系列无线控制器支持二、三层漫游,漫游域不受子网的限制,这种优秀的漫游特性,可以让客户在规划无线网络时,根本不用考虑以前的有线网络的规划,完全只考虑无线信号的覆盖即可,这种方式大大简化了前期的网络规划,减少了网络规划成本。
传统的用户漫游,当无线用户终端使用802.1x作为802.11接入认证和密钥交互的手段时,无线用户终端和AP间的交互报文会非常的多。当无线用户终端在两个AP间漫游时,如果无线用户终端在新AP接入的过程完全遵从完整的802.1x的交互过程,势必造成漫游切换的时间过长,对于某些对漫游切换时间敏感的业务(例如语音业务),这样的长切换时间是无法忍受的。H3C WX5000系列控制器采用Key caching技术完成漫游时用户的快速切换,Key caching技术在用户的安全接入和快速漫游间做了一个很好的平衡,可以使无线用户终端在两个AP间进行漫游时不必重新进行完整的802.1x认证交互过程,同时又能保证用户身份的识别和密钥使用的连续性;无线用户采用快速漫游方式,单AC内漫游时间不超过50ms,满足了语音业务的苛刻需求。
主要指标
硬件规格
项目 |
WX5004 |
LSWM1WCM10 |
LSWM1WCM20 |
WX5002-64 |
WX5002-128 |
外形尺寸
(长×宽×高,单位:mm) |
440×430×43.6 |
230×220×30 |
221×166×36.6 |
440×300×43.6 |
重量 |
<7.4kg (安装双电源时) |
<2kg |
<0.75kg |
<4.2kg |
管理端口 |
1个Console口 |
1个带外管理口 |
1个带外管理口 |
1个Console口 |
业务端口描述 |
4个千兆电口 |
- |
- |
2个千兆电口 |
4个千兆SFP光口,与对应的以太网电口形成Combo口 |
- |
- |
2个千兆SFP光口,与对应的以太网电口形成Combo口 |
输入电压 |
AC:(插卡系列控制器的输入电压指其所依附的主机的输入电压) |
额定电压范围:100V~240V AC;50/60Hz |
最大电压范围:90V~264V AC; 47/63Hz |
功耗 |
<70W |
<120W |
<36W |
<50W |
工作环境温度 |
0℃~45℃ |
工作环境相对湿度(非凝露) |
10%~95% |
存贮温度 |
-40~70℃ |
存贮湿度(非凝露) |
5%~95% |
安全规范 |
UL 60950-1,
CAN/CSA C22.2 No 60950-1,
IEC 60950-1,
EN 60950-1/A11,
AS/NZS 60950,
EN 60825-1,
EN 60825-2,
FDA 21 CFR Subchapter J |
EMC |
ETSI EN 300 386 V1.3.3:2005
EN 55024: 1998+ A1: 2001 + A2: 2003
EN 55022 :2006
VCCI V-3:2007
ICES-003:2004
EN 61000-3-2:2000+A1:2001+A2:2005
EN 61000-3-3:1995+A1:2001+A2:2005
AS/NZS CISPR 22:2004
FCC PART 15:2005
GB 9254:1998
GB/T 17618:1998 |
MTBF |
≥40年 |
软件规格
型号 |
WX5004 |
LSWM1WCM10 |
WX5002-64 |
LSWM1WCM20 |
WX5002-128 |
可管理AP数(个) |
基础可管理AP数 |
64 |
32 |
128 |
最大可管理AP数 |
256 |
64 |
128 |
128 |
License步长 |
32 |
32 |
- |
网络互连 |
802.3局域网协议 |
ARP (免费ARP) |
VLAN(PORT-BASED VLAN/MAC-BASED VLAN) |
802.1p |
802.1q |
802.1x |
802.11局域网协议 |
802.11 |
802.11b |
802.11a |
802.11g |
802.11d |
802.11h |
802.11i |
802.11e |
802.11s |
802.11n draft2.0 |
CAPWAP协议 |
AP和AC之间支持L2/L3层网络拓朴 |
AP可以自动发现可接入的AC |
AP可以自动从AC更新软件版本 |
AP可以自动从AC下载配置 |
AP和AC之间支持IPv4/IPv6网络 |
漫游 |
支持AC内漫游 |
支持跨AC间漫游 |
支持Key cache快速漫游 |
IP应用 |
Ping、TraceRT |
DHCP Server |
BootP/DHCP Client |
DHCP Relay |
DHCP Snooping |
DNS Cient |
NTP |
Telnet |
TFTP Client |
FTP Client |
FTP Server |
IP路由 |
静态路由 |
组播 |
IGMP Snooping |
MLD Snooping |
IPv6 |
TCPv6、UDPv6、ICMPv6 |
Pingv6 、TraceRTv6 |
Telnetv6 |
DNSv6 |
IPv6 ND |
IPv6 PMTU |
IPv6 ACL |
IPv6静态路由 |
网络安全性 |
安全认证 |
MAC 地址认证 |
802.1x认证 (EAP-TLS、EAP-TTLS、EAP-PEAP、EAP-SIM、EAP-MD5,其中本地认证支持EAP-TLS、EAP-PEAP、EAP-MD5) |
Portal认证 |
支持本地Portal Server |
PPPoE认证 |
WAPI认证(仅WX5004和S5800大容量无线控制器业务板卡) |
支持无线EAD |
AAA |
Radius Client |
HWTacacs |
支持LDAP |
支持认证服务器多域配置 |
支持备份认证服务器 |
支持基于ESS选择认证服务器 |
支持SSID和用户账号的绑定 |
支持本地认证 |
802.11安全和加密 |
支持多SSID |
支持隐藏SSID |
支持802.11i标准(含802.1x认证和PSK认证) |
支持具有国家自主知识产权的WAPI标准的认证和加密 |
支持WPA、WPA2标准 |
WEP(WEP64/WEP128/WEP152) |
TKIP |
CCMP |
WAPI加密(仅WX5004和S5800大容量无线控制器业务板卡) |
WIDS/WIPS |
支持白名单 |
支持静态和动态黑名单 |
支持对无线非法设备的监测和攻击 |
支持无线防攻击 |
其他 |
SSH V1.5/2.0 |
转发 |
|
Split MAC(集中式转发) |
Local MAC(本地转发) |
基于AP的带宽限速 |
相同SSID下的用户隔离 |
用户管理 |
|
基于用户的带宽限速 |
基于用户的接入控制 |
基于用户的QoS |
射频管理 |
|
支持国家码设置 |
支持手动设置发射功率 |
支持自动设置发射功率 |
支持手动设置工作信道 |
支持自动设置工作信道 |
支持自动调整传输速率 |
支持黑洞补偿 |
支持基于流量和基于用户数的AP负载分担 |
支持无线射频干扰监测和规避 |
可靠性 |
|
双电源备份 |
双AC之间300ms快速切换(仅WX5004和S5800大容量无线控制业务板卡) |
多AC备份(1+1、N+1、N+N) |
QOS |
|
支持L2~L4包过滤和流分类功能 |
支持基于用户和基于SSID的速率限制,粒度为64Kbit/s |
支持WMM(802.11e) |
支持无线优先级到有线优先级的映射 |
支持无线用户优先级到CAPWAP隧道优先级的映射 |
可维护性 |
网络管理 |
SNMP V1/V2c/V3 |
WEB管理 |
SYSLOG |
用户接入管理 |
支持Console口登录 |
支持Telnet登录 |
支持SSH登录 |
支持FTP上传 |
性能指标 |
交换容量 |
8Gbps |
10Gbps |
4Gbps |
VLAN |
4K |
4K |
ACL |
8K |
2K |
无线用户数 |
4K |
2K |
MAC地址表 |
8K |
4K |
Jumbo帧大小 |
4K |
4K |
ARP表 |
8K |
2K |
用户AC内漫游切换时间 |
小于50ms | |