H3C WAC360、361系列企业级核心多业务无线控制器
分类: 网络交换机  发布时间: 2015-05-25 16:56 

H3C WAC360、361系列企业级核心多业务无线控制器
H3C WAC360/361是杭州华三通信技术有限公司(以下简称H3C公司)自主研发的网关型多业务无线控制器(AC,Access Controller)产品系列。WAC360/361系列无线控制器业务类型丰富,集精细的用户控制管理、完善的射频资源管理、7X24小时无线安全管控、二三层快速漫游、灵活的QoS控制、IPv4&IPv6双栈等多功能于一体,提供强大的有线、无线一体化接入能力。

提供对802.11ac AP的管理

WAC360/361系列无线控制器在支持对传统802.11a/b/g/n AP管理的同时,还可以与H3C基于802.11ac协议的AP配合组网,从而提供相当于传统802.11a/b/g/n协议数倍的无线接入速率,使无线多媒体应用成为现实。


提供灵活的数据转发方式

传统的无线控制器部署一般采用集中式转发模式,AC可以对报文进行全面控制和安全监管,但所有的无线业务流量需要到AC进行统一处理,核心链路带宽和AC转发能力容易成为瓶颈。特别是AP和AC通过广域网方式进行连接时,AP作为数据接入设备部署在分支机构,而AC部署在总部,所有用户数据由AP发送到AC,再由AC进行集中转发,导致转发效率低下。

WAC360/361系列无线控制器可以支持集中式转发和分布式转发,用户根据业务需要和网络实际情况可以灵活设置转发方式。


支持运营级无线用户接入控制和管理

基于用户的接入控制是WAC360/361系列无线控制器产品的一大特色,User Profile(用户配置文件)提供一个配置模板,能够保存预设配置(一系列配置的集合)。用户可以根据不同的应用场景为User Profile配置不同的内容,比如CAR(Committed Access Rate,承诺访问速率)策略和QoS(Quality of Service,服务质量)策略等。

用户访问设备时,需要先进行身份认证。在认证过程中,认证服务器会将User Profile名称下发给设备,设备会立即启用User Profile里配置的具体内容。当用户通过认证访问设备时,设备将通过这些具体内容限制用户的访问行为。当用户下线时,系统会自动禁用User Profile下的配置项,从而取消User Profile对用户的限定。因此,User Profile适用于限制上线用户的访问行为,没有用户上线(可能是没有用户接入、或者用户没有通过认证、或者用户下线)时,User Profile是预设配置,并不生效。

另外,WAC360/361系列无线控制器还支持基于MAC的认证接入控制方式,这种方式不但可以使得客户在AAA服务器上对用户组进行权限的配置和修改,同时支持对具体用户的权限的配置,这种精细的用户权限控制大大增强了无线网络的可用度,网管人员可以轻松通过该方式对不同级别的人或人群进行接入权限分配。

基于MAC的VLAN同样也是WAC360/361系列无线控制器的一大特色,在控制策略上,管理员可以把相同性质的用户(MAC)划分到同一个VLAN,同时在控制器上基于VLAN配置安全策略,这样做既可以简化系统配置,又可以做到用户级粒度的精细管理。

出于安全性或计费等考虑,系统管理员可能希望控制无线用户接入到网络中的位置。WAC360/361系列无线控制器支持基于AP位置的用户接入控制。当无线用户接入网络时,可以通过认证服务器向AC下发允许用户接入的AP列表,在AC上进行接入控制,从而达到限制无线用户只能接入到指定位置的AP的目的。


提供可靠的网关功能

WAC360/361定位与中小企业,分支机构的网关,集成了网关和AC双功能。WAN口为千兆电接口,支持PPPOE、NAT网关功能、动态IP地址、静态IP地址设定功能。


支持信道智能切换

无线局域网中,信道是非常稀缺的资源,每个AP只能够工作在非常有限的非重叠信道上,比如对于2.4G网络,只有3个非重叠信道,所以如何智能地为AP分配信道是无线应用的关键。

无线局域网工作的频段存在大量可能的干扰源,如雷达、微波炉,它们在网络中的出现将干扰AP的正常工作。通过信道智能切换功能,可以保证每个AP能够分配到较优的信道,尽可能地减少和避免相邻信道干扰,而且通过实时信道干扰检测,可以让AP实时避开雷达,微波炉等干扰源。


支持智能AP负载分担

802.11协议把无线漫游的决策交给了无线客户端,无线客户端一般会根据AP信号强度(RSSI)选择AP,这很容易导致大量的客户端仅仅因为某个AP信号较强而连接到同一个AP上。由于这些客户端共享无线媒介,导致每个客户端的网络吞吐将大量减少。

智能负载分担方法可以实时地分析无线客户端的位置,动态地确定在当前时刻和当前位置下哪些AP可以彼此分担负载,通过控制无线客户端接入的AP,来实现这些AP间的负载分担。系统不仅支持按照用户在线会话数的负载分担,而且支持按照用户流量负载的分担。


支持7层移动安全检测/防御(wIDS/wIPS)

WAC360/361系列无线控制器支持的移动安全防御模式有:黑名单、白名单、Rogue防御、畸形报文检测、非法用户下线、基于可预设升级的Signature MAC层攻击检测与反制(例如:DoS攻击,Flood攻击、中间人攻击)等。配合无线应用控制台内置的海量智能专家知识库,可以获得灵活的无线安全策略判断依据,对于明确的非法攻击源(AP或终端等),实现可视的物理位置跟踪监控和交换机物理端口移除。

通过配合H3C专业核心层防火墙/IPS设备,更可以实现移动园区的7层立体安全防御,满足真正的从无线(802.11)到有线(802.3)端到端安全防护需求。


支持RealTime Spectrum Guard(实时频谱保护)模式

RealTime Spectrum Guard(RTSG)是H3C创新提出的针对无线环境频谱状态的专业监控方案。全系列无线控制器可以和内置射频采集模块的Sensor AP,实现深度融合的射频监控和实时频谱防护。

RTSG的控制台融合部署于H3C iMC智能管理中心,通过CAPWAP管理隧道,与Sensor AP进行通信和数据采集,实现7X24小时的无线环境质量监控、无线网络能力趋势评估以及非许可干扰告警。通过图形化方式,主动探测和识别所有2.4GHz/5GHz波段的射频干扰源(Wi-Fi或非Wi-Fi),可提供实时FFT图,频谱密度图、光谱图、占空比图、事件光谱图、频道功率、干扰功率等;可自动识别干扰源,确定有问题的无线设备的位置,确保无线网络发挥良好的性能。结合H3C iAR智能报表组件,可实现全覆盖区内的射频质量历史记录的存储、追溯、回放等,自动生成客户化的趋势、合规和审计报告。

针对用户无线环境监管的不同层次需求,RTSG方案的部署可以灵活采用Local mode或Monitor Mode。当工作在Local Mode时,可以在获得有效的频谱防护前提下,保持正常的用户接入和数据包转发。


支持智能无线业务感知(wIAA)

WAC360/361系列无线控制器支持智能感知无线业务流量,实现基于无线用户状态的弹性策略识别与管理,优化语音及视频业务承载。


支持远程探针分析

WAC360/361系列无线控制器支持针对AP的远程探针分析功能。可以对覆盖区内的Wi-Fi报文进行侦听捕获并实时镜像到本地分析设备供网络管理员进行故障排查、优化分析。远程探针分析功能既可以针对工作信道进行无收敛镜像,也可以对所有信道轮询采样,灵活满足无线网络监控运维要求。


内置射频优化引擎(ROE)

WAC360/361系列无线控制器内置针对AP的射频优化引擎(RF Optimizing Engine),通过基于特征和协议的射频优化,有效提升无线部署中高密度接入、流媒体传输等场景中的应用加速能力和质量保障效果。其中包含:多用户公平调度、混合接入公平、过滤干扰、速率优、频谱导航、组播增强(IPv4/IPv6)、逐包功率控制和智能带宽保障等。


支持802.1x认证,MAC地址认证,Portal认证等

WAC360/361系列无线控制器支持多种认证方式:

* 802.1x认证:WAC360/361系列无线控制器支持TLS、PEAP、TTLS、MD5、SIM卡等多种802.1x的认证方式,同时还支持802.1x本地认证方式,提供对MD5、TLS、PEAP这几种主流认证方式的支持,用户不再需要额外配置AAA服务器。WAC360/361系列无线控制器还支持通过802.1x认证后动态授权VLAN和ACL功能,对用户的策略可以事先设定好,用户认证时,系统自动配置客户权限。

* MAC地址认证:WAC360/361系列无线控制器支持MAC地址认证,对一些手持终端(例如:Wi-Fi Phone、手持移动终端等)并不方便采取电脑上的认证方式,MAC地址认证却可以轻松解决该问题,实现在控制器或者AAA服务器上配置好合法的MAC地址,这些MAC地址对应的终端就可以被允许被接入到网络,而事先没有被配置的非法终端则不能接入无线网络,该功能极大地方便了例如无线医疗系统等应用,MAC地址认证可以确保只有医院的PDA工作终端才能接入到无线网络,而拒绝病人的无线PDA使用专用无线网络。

* Portal认证:WAC360/361系列无线控制器提供内置的Portal认证服务器。该认证方式无需客户端配合,直接通过浏览器WEB Portal页面作为认证通道,当用户认证通过后,可以灵活跳转到指定访问首页并启动相应授权和计费。同时也可以根据策略要求,灵活推送定制Portal页面,达到广告宣传、信息传递的作用,广泛使用在无线校园、无线城市、访客接入等应用场景。


支持IPv4/IPv6双协议栈(Native IPv6)

WAC360/361系列无线控制器支持无线客户的IPV6接入。在隧道起点AP上,由于设备对IPv6感知,所以可以做到IPv6优先级到隧道优先级映射等;在AC侧,同样可以对IPv6报文进行ACL过滤等复杂的控制和过滤。

WAC360/361系列无线控制器同样可以部署在IPv6网络中,AC和AP之间自动协商成IPv6隧道。AC和AP完全工作在IPv6状态时,无线控制器仍能正确地感知IPv4,并能处理无线客户的IPv4报文。WAC360/361系列无线控制器IPv4/6灵活的适应能力,能满足客户在IPv4到IPv6网络迁移中的各种复杂的应用,既能在IPv6孤岛中给客户提供IPv4的服务,同时也能在IPv4孤岛中让用户轻松通过IPv6协议登录到网络。

针对校园网层出不穷的IPv6伪造报文攻击,WAC360/361系列无线控制器支持IPv6 SAVI(Source Address Validation,源地址有效性验证)技术。通过对地址分配协议的侦听获取用户的IP地址,保证随后的应用中能够使用正确地址上网,且不可伪造他人IP地址,保证了源地址的可靠性。同时,通过IPv6 SAVI和Portal技术的结合,进一步保证了所有上网用户报文的真实性和安全性。


提供端到端的QoS

WAC360/361系列无线控制器基于Comware平台开发,不但对Diff-Serv标准完善支持,同时增加了对IPv6协议的QoS支持。

QoS Diff-Serv 模型中主要包括流分类、流量监管(Policing)、队列管理、队列调度(Scheduling)等,完整实现了标准中定义的EF、AF1~AF4、BE等六组PHB及业务,使网络运营商可为用户提供具有不同服务质量等级的服务保证,使Internet真正成为同时承载数据、语音和视频业务的综合网络。


支持快速的二、三层漫游

H3C公司的集中式无线架构不但能方便地实施二层漫游,而且非常有利于跨三层的漫游实现,用Fat AP部署的WLAN网络,由于AP之间传递的信息有限,导致垮三层的漫游实现及其麻烦,集中式架构非常容易解决跨三层漫游的问题,WAC360/361系列无线控制器支持二、三层漫游,漫游域不受子网的限制。这种优秀的漫游特性,可以让客户在规划无线网络时,无需过多考虑现有网络的规划,更多关注在无线信号的覆盖即可,这种方式大大简化了前期的网络规划,减少了网络规划成本。

传统模式下,当无线用户终端使用802.1x作为802.11接入认证和密钥交互的手段时,无线用户终端和AP间的交互报文会非常的多。当无线用户终端在两个AP间漫游时,如果无线用户终端在新AP接入的过程完全遵从完整的802.1x的交互过程,势必造成漫游切换的时间过长,对于某些对漫游切换时间敏感的业务(例如语音业务),这样的长切换时间是无法忍受的。WAC360/361系列无线控制器采用Key caching技术完成漫游时用户的快速切换,Key caching技术在用户的安全接入和快速漫游间做了一个很好的平衡,可以使无线用户终端在两个AP间进行漫游时不必重新进行完整的802.1x认证交互过程,同时又能保证用户身份的识别和密钥使用的连续性;无线用户采用快速漫游方式,单AC内漫游时间不超过50ms,满足了语音业务的苛刻需求。


支持分支机构集中管理业务

* 用户集中管理,把分支机构的全部用户的认证流程转发到总部,由总部的认证服务器进行统一准入认证。

* 设备集中管理,WAC360/361支持被总部大AC集中管理,通过总部大AC可对分支AC、AP下达配置,大大减少维护难度。


支持分支机构数据分布发送业务

在用户认证成功后,数据业务不用转发的总部AC,分支机构AC WAC360/361直接将数据业务转入Internet。减少总部流量压力。

硬件规格

项目

WAC360/361

外形尺寸(宽×深×高)

220mm*145mm*22mm

满配重量

0.9kg

吞吐量

1.6Gbps

接口

5*GE

电源

Adapter式电源适配器 AC100~240V

整机功耗

15w

工作/存储环境温度

-40°C~70°C

工作/存储环境相对湿度(非凝露)

5%~95%

安全规范

UL 60950-1

CAN/CSA C22.2 No 60950-1

IEC 60950-1

EN 60950-1/A11

AS/NZS 60950

EN 60825-1

EN 60825-2

EN60601-1-2

FDA 21 CFR Subchapter J

EMC

ETSI EN 300 386 V1.3.3:2005

EN 55024: 1998+ A1: 2001 + A2: 2003

EN 55022 :2006

VCCI V-3:2007

ICES-003:2004

EN 61000-3-2:2000+A1:2001+A2:2005

EN 61000-3-3:1995+A1:2001+A2:2005

AS/NZS CISPR 22:2004

FCC PART 15:2005

GB 9254:1998

GB/T 17618:1998

MTBF

≥154年


软件规格

项目

支持特性

WAC360

WAC361

基础性能

缺省管理AP数

16

32

最大管理AP数

16

32

最大用户数

1K

1K

ARP表项

1K

1K

ND表项

1K

1K

802.11协议簇

支持

支持

802.11MAC

多SSID(每射频口)

16

16

隐藏SSID

支持

支持

11G保护

支持

支持

11n only

支持

支持

用户数限制

支持:基于SSID、Radio的用户数限制

支持:基于SSID、Radio的用户数限制

用户在线检测

支持

支持

用户无流量自动老化

支持

支持

多国家码部署

支持

支持

无线用户隔离

支持:

1、无线VLAN的无线用户二层隔离

2、基于SSID的无线用户二层隔离

支持:

1、无线VLAN的无线用户二层隔离

2、基于SSID的无线用户二层隔离

40MHz模式的20MHz/40MHz自动切换

支持

支持

本地转发

支持:基于SSID+VLAN的本地转发

支持:基于SSID+VLAN的本地转发

自动输入AP序列号

支持

支持

CAPWAP

AC发现(DHCP option43、DNS方式)

支持

支持

IPv6隧道

支持

支持

时钟同步

支持

支持

Jumbo帧发送

支持

支持

AP双上行隧道链路

支持

支持

通过AC配置AP基本网络参数

支持:配置静态IP、VLAN、接入的AC地址等

支持:配置静态IP、VLAN、接入的AC地址等

AC和AP之间支持L2、L3层组网

支持

支持

AP与AC间穿越NAT

支持

支持

同一AC内,不同AP下二、三层漫游

支持

支持

漫游能力

不同AC间,不同AP下二、三层漫游

支持

支持

NAT

支持

支持

路由特性

PPPoE

支持

支持

DDNS

支持

支持

SSL VPN

支持

支持

IPSEC VPN

支持

支持

RIP

支持

支持

GRE

支持

支持

Open system、Shared-Key

支持

支持

接入控制

WEP-64/128、动态WEP

支持

支持

WPA、WPA2

支持

支持

TKIP

支持

支持

CCMP

支持(11n推荐)

支持(11n推荐)

WAPI

可选支持

可选支持

SSH v1.5/v2.0

支持

支持

无线EAD(终端准入控制)

支持

支持

Portal认证

支持:远程、外挂服务器

支持:远程、外挂服务器

Portal页面推送

支持:基于SSID、AP的Portal页面推送

支持:基于SSID、AP的Portal页面推送

Portal支持本地转发



Portal穿越Proxy

支持

支持

802.1x认证

支持:

EAP-TLS、EAP-TTLS、EAP-PEAP、EAP-MD5、EAP-SIM、LEAP、EAP-FAST、EAP offload (仅支持TLS, PEAP)

支持:

EAP-TLS、EAP-TTLS、EAP-PEAP、EAP-MD5、EAP-SIM、LEAP、EAP-FAST、EAP offload (仅支持TLS, PEAP)

本地认证

支持:802.1X、Portal、MAC认证

支持:802.1X、Portal、MAC认证

LDAP认证

支持:

1、支持802.1X与Portal接入

2、802.1X接入时支持EAP-GTC和EAP-TLS

支持:

1、支持802.1X与Portal接入

2、802.1X接入时支持EAP-GTC和EAP-TLS

基本位置的用户接入控制

支持

支持

访客接入

支持

支持

VIP通道

支持

支持

ARP防攻击

支持:无线SAVI

支持:无线SAVI

SSID防假冒

支持:用户名与SSID绑定

支持:用户名与SSID绑定

基于域、SSID选择AAA服务器

支持

支持

AAA服务器备份

支持

支持

无线用户的本地AAA服务器

支持

支持

TACACS+

支持

支持

优先级映射

支持

支持

QoS

L2-L4流分类

支持

支持

流量限速

支持:流控粒度8Kbps

支持:流控粒度8Kbps

802.11e/WMM

支持

支持

支持基于AP的带宽限速

支持

支持

基于用户角色(User Profile)的接入控制

支持

支持

智能带宽限速-基于带宽均分算法

支持

支持

智能带宽限速-基于每用户指定带宽的算法

支持

支持

智能带宽保障

支持:

在流量未拥塞时,确保不同优先级SSID下的报文都可以自由通过;在流量拥塞时,确保每个SSID可以保持各自约定的最小带宽

支持:

在流量未拥塞时,确保不同优先级SSID下的报文都可以自由通过;在流量拥塞时,确保每个SSID可以保持各自约定的最小带宽

QoS Optimization for SVP phone

支持

支持

CAC(Call Admission Control)

支持:基于用户数/带宽的CAC

支持:基于用户数/带宽的CAC

端到端QoS

支持

支持

AP上行口限速

支持

支持

国家码锁定

支持

支持

无线资源管理

静态信道、功率设置

支持

支持

动态信道、功率设置

支持

支持

动态速率调节

支持

支持

空口黑洞检测和补偿

支持

支持

负载均衡维度

支持:基于流量、用户、频段(双频支持)

支持:基于流量、用户、频段(双频支持)

智能负载均衡

支持

支持

AP均衡组

支持:自动发现并灵活设定

支持:自动发现并灵活设定

静态黑名单

支持

支持

安全防御

动态黑名单

支持

支持

白名单

支持

支持

非法AP检测

支持:基于SSID、BSSID、设备OUI等

支持:基于SSID、BSSID、设备OUI等

非法AP反制

支持

支持

防无线泛洪攻击(Flooding Attack)

支持

支持

防仿冒攻击(Spoof Attack)

支持

支持

防Weak IV攻击

支持

支持

wIPS

支持:可实现7层移动安全防御

支持:可实现7层移动安全防御

ARP代答

支持

支持

二层协议

802.1p

支持

支持

802.1q

支持

支持

802.1x

支持

支持

广播风暴抑制

支持

支持

IPv4协议

支持

支持

IP协议

Native IPv6(原生)

支持

支持

IPv6 SAVI

支持

支持

IPv6 Portal

支持

支持

MLD Snooping

支持

支持

组播协议

IGMP Snooping

支持

支持

组播组数目

256

256

组播转单播(IPv4、IPv6)

支持:可依据环境设置单播接入阈值

支持:可依据环境设置单播接入阈值

管理方式

支持:WEB、SNMP v1/v2/v3、RMON等

支持:WEB、SNMP v1/v2/v3、RMON等

网管与配置

配置方式

支持:WEB、CLI、TELNET、FTP等

支持:手机APP管理

支持:WEB、CLI、TELNET、FTP等

支持:手机APP管理

AeroScout定位

支持

支持

无线定位

按需定时关闭AP射频口

支持

支持

绿色节能

按需定时关闭无线服务

支持

支持

逐包功率控制(PPC)

支持

支持

RF Ping

支持

支持

WLAN综合应用

远程探针分析

支持

支持

实时频谱防护(RTSG)

支持

支持

智能无线业务感知(wIAA)

支持/状态防火墙

支持/状态防火墙

报文发送公平调度机制

支持

支持

802.11n报文发送抑制

支持

支持

基于连接状况的流量整形

支持

支持

调整AP间信道共享

支持

支持

调整AP间信道重用

支持

支持

射频接口发送速率调整算法

支持

支持

忽略弱信号无线报文

支持

支持

禁止弱信号客户端接入

支持

支持

禁止组播报文缓存

支持

支持

Blink状态检测(部分AP)

支持

支持

策略转发

支持

支持

新增特性

VLAN池

支持

支持

Bonjour gateway

支持

支持

802.11w

支持

支持

802.11k

支持

支持

Hotspot2.0 (802.11u)

支持

支持

NAT

支持

支持

VPN

支持

支持


上一产品:没有了
下一产品H3C WAP722系列室内放装型802.11ac无线接入设备