提供對802.11ac AP的管理
WAC360/361系列無線控制器(qì)在支持對傳統802.11a/b/g/n AP管理的同時,還(hái)可以與H3C基于802.11ac協議的AP配合組網,從(cóng)而提供相(xiàng)當于傳統802.11a/b/g/n協議數倍的無線接入速率,使無線多(duō)媒體應用成為(wèi)現實。
提供靈活的數據轉發方式
傳統的無線控制器(qì)部署一(yī)般采用集中式轉發模式,AC可以對報(bào)文進行全面控制和安全監管,但所有的無線業(yè)務流量需要到(dào)AC進行統一(yī)處理,核心鏈路(lù)帶寬和AC轉發能(néng)力容易成為(wèi)瓶頸。特别是AP和AC通(tōng)過廣域網方式進行連接時,AP作為(wèi)數據接入設備部署在分支機(jī)構,而AC部署在總部,所有用戶數據由AP發送到(dào)AC,再由AC進行集中轉發,導緻轉發效率低(dī)下(xià)。
WAC360/361系列無線控制器(qì)可以支持集中式轉發和分布式轉發,用戶根據業(yè)務需要和網絡實際情況可以靈活設置轉發方式。
支持運營級無線用戶接入控制和管理
基于用戶的接入控制是WAC360/361系列無線控制器(qì)産品的一(yī)大特色,User Profile(用戶配置文件(jiàn))提供一(yī)個(gè)配置模闆,能(néng)夠保存預設配置(一(yī)系列配置的集合)。用戶可以根據不同的應用場景為(wèi)User Profile配置不同的内容,比如CAR(Committed Access Rate,承諾訪問速率)策略和QoS(Quality of Service,服務質量)策略等。
用戶訪問設備時,需要先進行身份認證。在認證過程中,認證服務器(qì)會(huì)将User Profile名稱下(xià)發給設備,設備會(huì)立即啓用User Profile裡(lǐ)配置的具體内容。當用戶通(tōng)過認證訪問設備時,設備将通(tōng)過這些具體内容限制用戶的訪問行為(wèi)。當用戶下(xià)線時,系統會(huì)自(zì)動禁用User Profile下(xià)的配置項,從(cóng)而取消User Profile對用戶的限定。因此,User Profile适用于限制上(shàng)線用戶的訪問行為(wèi),沒有用戶上(shàng)線(可能(néng)是沒有用戶接入、或者用戶沒有通(tōng)過認證、或者用戶下(xià)線)時,User Profile是預設配置,并不生(shēng)效。
另外,WAC360/361系列無線控制器(qì)還(hái)支持基于MAC的認證接入控制方式,這種方式不但可以使得客戶在AAA服務器(qì)上(shàng)對用戶組進行權限的配置和修改,同時支持對具體用戶的權限的配置,這種精細的用戶權限控制大大增強了無線網絡的可用度,網管人員(yuán)可以輕松通(tōng)過該方式對不同級别的人或人群進行接入權限分配。
基于MAC的VLAN同樣也是WAC360/361系列無線控制器(qì)的一(yī)大特色,在控制策略上(shàng),管理員(yuán)可以把相(xiàng)同性質的用戶(MAC)劃分到(dào)同一(yī)個(gè)VLAN,同時在控制器(qì)上(shàng)基于VLAN配置安全策略,這樣做既可以簡化系統配置,又(yòu)可以做到(dào)用戶級粒度的精細管理。
出于安全性或計費(fèi)等考慮,系統管理員(yuán)可能(néng)希望控制無線用戶接入到(dào)網絡中的位置。WAC360/361系列無線控制器(qì)支持基于AP位置的用戶接入控制。當無線用戶接入網絡時,可以通(tōng)過認證服務器(qì)向AC下(xià)發允許用戶接入的AP列表,在AC上(shàng)進行接入控制,從(cóng)而達到(dào)限制無線用戶隻能(néng)接入到(dào)指定位置的AP的目的。
提供可靠的網關功能(néng)
WAC360/361定位與中小(xiǎo)企業(yè),分支機(jī)構的網關,集成了網關和AC雙功能(néng)。WAN口為(wèi)千兆電(diàn)接口,支持PPPOE、NAT網關功能(néng)、動态IP地址、靜(jìng)态IP地址設定功能(néng)。
支持信道智能(néng)切換
無線局域網中,信道是非常稀缺的資源,每個(gè)AP隻能(néng)夠工(gōng)作在非常有限的非重疊信道上(shàng),比如對于2.4G網絡,隻有3個(gè)非重疊信道,所以如何智能(néng)地為(wèi)AP分配信道是無線應用的關鍵。
無線局域網工(gōng)作的頻段存在大量可能(néng)的幹擾源,如雷達、微波爐,它們在網絡中的出現将幹擾AP的正常工(gōng)作。通(tōng)過信道智能(néng)切換功能(néng),可以保證每個(gè)AP能(néng)夠分配到(dào)最優的信道,盡可能(néng)地減少和避免相(xiàng)鄰信道幹擾,而且通(tōng)過實時信道幹擾檢測,可以讓AP實時避開(kāi)雷達,微波爐等幹擾源。
支持智能(néng)AP負載分擔
802.11協議把無線漫遊的決策交給了無線客戶端,無線客戶端一(yī)般會(huì)根據AP信号強度(RSSI)選擇AP,這很容易導緻大量的客戶端僅僅因為(wèi)某個(gè)AP信号較強而連接到(dào)同一(yī)個(gè)AP上(shàng)。由于這些客戶端共享無線媒介,導緻每個(gè)客戶端的網絡吞吐将大量減少。
智能(néng)負載分擔方法可以實時地分析無線客戶端的位置,動态地确定在當前時刻和當前位置下(xià)哪些AP可以彼此分擔負載,通(tōng)過控制無線客戶端接入的AP,來實現這些AP間的負載分擔。系統不僅支持按照(zhào)用戶在線會(huì)話數的負載分擔,而且支持按照(zhào)用戶流量負載的分擔。
支持7層移動安全檢測/防禦(wIDS/wIPS)
WAC360/361系列無線控制器(qì)支持的移動安全防禦模式有:黑(hēi)名單、白(bái)名單、Rogue防禦、畸形報(bào)文檢測、非法用戶下(xià)線、基于可預設升級的Signature MAC層攻擊檢測與反制(例如:DoS攻擊,Flood攻擊、中間人攻擊)等。配合無線應用控制台内置的海量智能(néng)專家知識庫,可以獲得靈活的無線安全策略判斷依據,對于明确的非法攻擊源(AP或終端等),實現可視的物(wù)理位置跟蹤監控和交換機(jī)物(wù)理端口移除。
通(tōng)過配合H3C專業(yè)核心層防火牆/IPS設備,更可以實現移動園區的7層立體安全防禦,滿足真正的從(cóng)無線(802.11)到(dào)有線(802.3)端到(dào)端安全防護需求。
支持RealTime Spectrum Guard(實時頻譜保護)模式
RealTime Spectrum Guard(RTSG)是H3C創新提出的針對無線環境頻譜狀态的專業(yè)監控方案。全系列無線控制器(qì)可以和内置射頻采集模塊的Sensor AP,實現深度融合的射頻監控和實時頻譜防護。
RTSG的控制台融合部署于H3C iMC智能(néng)管理中心,通(tōng)過CAPWAP管理隧道,與Sensor AP進行通(tōng)信和數據采集,實現7X24小(xiǎo)時的無線環境質量監控、無線網絡能(néng)力趨勢評估以及非許可幹擾告警。通(tōng)過圖形化方式,主動探測和識别所有2.4GHz/5GHz波段的射頻幹擾源(Wi-Fi或非Wi-Fi),可提供實時FFT圖,頻譜密度圖、光(guāng)譜圖、占空比圖、事(shì)件(jiàn)光(guāng)譜圖、頻道功率、幹擾功率等;可自(zì)動識别幹擾源,确定有問題的無線設備的位置,确保無線網絡發揮最佳的性能(néng)。結合H3C iAR智能(néng)報(bào)表組件(jiàn),可實現全覆蓋區内的射頻質量曆史記錄的存儲、追溯、回放(fàng)等,自(zì)動生(shēng)成客戶化的趨勢、合規和審計報(bào)告。
針對用戶無線環境監管的不同層次需求,RTSG方案的部署可以靈活采用Local mode或Monitor Mode。當工(gōng)作在Local Mode時,可以在獲得有效的頻譜防護前提下(xià),保持正常的用戶接入和數據包轉發。
支持智能(néng)無線業(yè)務感知(wIAA)
WAC360/361系列無線控制器(qì)支持智能(néng)感知無線業(yè)務流量,實現基于無線用戶狀态的彈性策略識别與管理,優化語音(yīn)及視頻業(yè)務承載。
支持遠(yuǎn)程探針分析
WAC360/361系列無線控制器(qì)支持針對AP的遠(yuǎn)程探針分析功能(néng)。可以對覆蓋區内的Wi-Fi報(bào)文進行偵聽捕獲并實時鏡像到(dào)本地分析設備供網絡管理員(yuán)進行故障排查、優化分析。遠(yuǎn)程探針分析功能(néng)既可以針對工(gōng)作信道進行無收斂鏡像,也可以對所有信道輪詢采樣,靈活滿足無線網絡監控運維要求。
内置射頻優化引擎(ROE)
WAC360/361系列無線控制器(qì)内置針對AP的射頻優化引擎(RF Optimizing Engine),通(tōng)過基于特征和協議的射頻優化,有效提升無線部署中高(gāo)密度接入、流媒體傳輸等場景中的應用加速能(néng)力和質量保障效果。其中包含:多(duō)用戶公平調度、混合接入公平、過濾幹擾、速率最優、頻譜導航、組播增強(IPv4/IPv6)、逐包功率控制和智能(néng)帶寬保障等。
支持802.1x認證,MAC地址認證,Portal認證等
WAC360/361系列無線控制器(qì)支持多(duō)種認證方式:
802.1x認證:WAC360/361系列無線控制器(qì)支持TLS、PEAP、TTLS、MD5、SIM卡等多(duō)種802.1x的認證方式,同時還(hái)支持802.1x本地認證方式,提供對MD5、TLS、PEAP這幾種主流認證方式的支持,用戶不再需要額外配置AAA服務器(qì)。WAC360/361系列無線控制器(qì)還(hái)支持通(tōng)過802.1x認證後動态授權VLAN和ACL功能(néng),對用戶的策略可以事(shì)先設定好,用戶認證時,系統自(zì)動配置客戶權限。
MAC地址認證:WAC360/361系列無線控制器(qì)支持MAC地址認證,對一(yī)些手持終端(例如:Wi-Fi Phone、手持移動終端等)并不方便采取電(diàn)腦(nǎo)上(shàng)的認證方式,MAC地址認證卻可以輕松解決該問題,實現在控制器(qì)或者AAA服務器(qì)上(shàng)配置好合法的MAC地址,這些MAC地址對應的終端就(jiù)可以被允許被接入到(dào)網絡,而事(shì)先沒有被配置的非法終端則不能(néng)接入無線網絡,該功能(néng)極大地方便了例如無線醫(yī)療系統等應用,MAC地址認證可以确保隻有醫(yī)院的PDA工(gōng)作終端才能(néng)接入到(dào)無線網絡,而拒絕病人的無線PDA使用專用無線網絡。
Portal認證:WAC360/361系列無線控制器(qì)提供内置的Portal認證服務器(qì)。該認證方式無需客戶端配合,直接通(tōng)過浏覽器(qì)WEB Portal頁面作為(wèi)認證通(tōng)道,當用戶認證通(tōng)過後,可以靈活跳轉到(dào)指定訪問首頁并啓動相(xiàng)應授權和計費(fèi)。同時也可以根據策略要求,靈活推送定制Portal頁面,達到(dào)廣告宣傳、信息傳遞的作用,廣泛使用在無線校園、無線城(chéng)市(shì)、訪客接入等應用場景。
支持IPv4/IPv6雙協議棧(Native IPv6)
WAC360/361系列無線控制器(qì)支持無線客戶的IPV6接入。在隧道起點AP上(shàng),由于設備對IPv6感知,所以可以做到(dào)IPv6優先級到(dào)隧道優先級映射等;在AC側,同樣可以對IPv6報(bào)文進行ACL過濾等複雜(zá)的控制和過濾。
WAC360/361系列無線控制器(qì)同樣可以部署在IPv6網絡中,AC和AP之間自(zì)動協商成IPv6隧道。AC和AP完全工(gōng)作在IPv6狀态時,無線控制器(qì)仍能(néng)正确地感知IPv4,并能(néng)處理無線客戶的IPv4報(bào)文。WAC360/361系列無線控制器(qì)IPv4/6靈活的适應能(néng)力,能(néng)滿足客戶在IPv4到(dào)IPv6網絡遷移中的各種複雜(zá)的應用,既能(néng)在IPv6孤島中給客戶提供IPv4的服務,同時也能(néng)在IPv4孤島中讓用戶輕松通(tōng)過IPv6協議登錄到(dào)網絡。
針對校園網層出不窮的IPv6僞造報(bào)文攻擊,WAC360/361系列無線控制器(qì)支持IPv6 SAVI(Source Address Validation,源地址有效性驗證)技(jì)術(shù)。通(tōng)過對地址分配協議的偵聽獲取用戶的IP地址,保證随後的應用中能(néng)夠使用正确地址上(shàng)網,且不可僞造他人IP地址,保證了源地址的可靠性。同時,通(tōng)過IPv6 SAVI和Portal技(jì)術(shù)的結合,進一(yī)步保證了所有上(shàng)網用戶報(bào)文的真實性和安全性。
提供端到(dào)端的QoS
WAC360/361系列無線控制器(qì)基于Comware平台開(kāi)發,不但對Diff-Serv标準完善支持,同時增加了對IPv6協議的QoS支持。
QoS Diff-Serv 模型中主要包括流分類、流量監管(Policing)、隊列管理、隊列調度(Scheduling)等,完整實現了标準中定義的EF、AF1~AF4、BE等六組PHB及業(yè)務,使網絡運營商可為(wèi)用戶提供具有不同服務質量等級的服務保證,使Internet真正成為(wèi)同時承載數據、語音(yīn)和視頻業(yè)務的綜合網絡。
支持快速的二、三層漫遊
H3C公司的集中式無線架構不但能(néng)方便地實施二層漫遊,而且非常有利于跨三層的漫遊實現,用Fat AP部署的WLAN網絡,由于AP之間傳遞的信息有限,導緻垮三層的漫遊實現及其麻煩,集中式架構非常容易解決跨三層漫遊的問題,WAC360/361系列無線控制器(qì)支持二、三層漫遊,漫遊域不受子網的限制。這種優秀的漫遊特性,可以讓客戶在規劃無線網絡時,無需過多(duō)考慮現有網絡的規劃,更多(duō)關注在無線信号的覆蓋即可,這種方式大大簡化了前期的網絡規劃,減少了網絡規劃成本。
傳統模式下(xià),當無線用戶終端使用802.1x作為(wèi)802.11接入認證和密鑰交互的手段時,無線用戶終端和AP間的交互報(bào)文會(huì)非常的多(duō)。當無線用戶終端在兩個(gè)AP間漫遊時,如果無線用戶終端在新AP接入的過程完全遵從(cóng)完整的802.1x的交互過程,勢必造成漫遊切換的時間過長(cháng),對于某些對漫遊切換時間敏感的業(yè)務(例如語音(yīn)業(yè)務),這樣的長(cháng)切換時間是無法忍受的。WAC360/361系列無線控制器(qì)采用Key caching技(jì)術(shù)完成漫遊時用戶的快速切換,Key caching技(jì)術(shù)在用戶的安全接入和快速漫遊間做了一(yī)個(gè)很好的平衡,可以使無線用戶終端在兩個(gè)AP間進行漫遊時不必重新進行完整的802.1x認證交互過程,同時又(yòu)能(néng)保證用戶身份的識别和密鑰使用的連續性;無線用戶采用快速漫遊方式,單AC内漫遊時間不超過50ms,滿足了語音(yīn)業(yè)務的苛刻需求。
支持分支機(jī)構集中管理業(yè)務
用戶集中管理,把分支機(jī)構的全部用戶的認證流程轉發到(dào)總部,由總部的認證服務器(qì)進行統一(yī)準入認證。
設備集中管理,WAC360/361支持被總部大AC集中管理,通(tōng)過總部大AC可對分支AC、AP下(xià)達配置,大大減少維護難度。
支持分支機(jī)構數據分布發送業(yè)務
在用戶認證成功後,數據業(yè)務不用轉發的總部AC,分支機(jī)構AC WAC360/361直接将數據業(yè)務轉入Internet。減少總部流量壓力。