H3C WX3500X系列全新高性能有线无线一体化控制器
H3C WX3500X是新华三技术有限公司(以下简称H3C公司)自主研发的新一代高性能有线无线一体化控制器(AC,Access Controller)产品系列。WX3500X系列无线控制器定位国内企业网市场,具有模块化、高扩展、大容量、高可靠、业务类型丰富等特点。硬件方面WX3500X系列配备高性能多核CPU,转发性能相较上一代大幅提升。软件方面,采用H3C全新一代Comware网络操作系统平台,支持精细化用户控制管理、完善的射频资源管理、7X24小时无线安全管控、二三层快速漫游、灵活的QoS控制、IPv4&IPv6双栈等多项功能之外,还支持多核控制平面、智能运维 、边缘计算、物联网、安全等融合特性需求。
H3C WX3500X系列无线控制器包含WX3510X、WX3520X和WX3540X三款型号*。配合H3C Fit AP产品系列,可以满足大中型企业园区WLAN接入、无线城域网覆盖、热点覆盖等无线场景的典型应用。
H3C WX3500X系列融合5G核心网功能(需定制部署),可作为WLAN和5G一体化接入网关实现WLAN和5G统一接入,更可实现5G网络作为WLAN业务回传网络的一体化解决方案,满足企业客户应用场景,节省投资。
产品特点
提供对802.11be AP的管理
WX3500X系列无线控制器支持对802.11a/b/g/n/ac/ ac wave2/ax AP管理,与H3C基于Wi-Fi 7(802.11be)协议的AP配合组网,突破传统无线网络串行通信的机制,促使无线频谱资源利用率成倍提升,有效接入用户数得到了极大的提高,有效减少无线网络的部署开销,极大提升了高密度用户环境下的用户体验。
基于全新的操作系统
WX3500X系列无线控制器采用H3C新一代Comware系统开发,新的操作系统极大提升产品的性能和可靠性,能够满足企业市场上越来越复杂的网络应用,Comware系统具有多方面的优势:
多核控制:在Comware系统中可以根据需要调整CPU控制核和转发核的分配比例,可根据需求达到一个最佳平衡,能够充分提升CPU的控制计算及数据计算的能力,同时提供强大的并发计算能力。
支持用户态多任务:Comware系统采用全新的软件运行权限控制方式,绝大多数网络业务都运行在用户态,不同网络业务占用不同的任务,每个任务占用独立的资源,某一任务运行错误只局限在本任务之内,不影响其他任务,使系统能够保持安全可靠地运行。
用户态任务监控:Comware系统具有任务监控功能,系统专门监控用户态的各个任务的运行情况,如果用户态任务出现异常情况,系统会重载该任务,使业务能够迅速恢复。
采用新的单独业务升级的方式:Comware系统支持单独的业务升级,只升级单独的某个业务模块而不需更新整个软件,相对公司前一代操作系统,可大大减少重启升级的次数,保证升级的安全性,有效提供网络稳定性。
支持WBC无线多业务中心方案
大型园区以及多分支场景,AP/AC数量众多且AC间相互独立,普遍面临管理任务繁重、网络故障率高和运维效率低的难题。“WBC无线多业务中心”方案,充分融合新华三无线4i(iRadio、iStation、iEdge、iHeal)能力,通过集群和分层策略,打造面向客户业务场景的更加灵活、高可靠的无线网络。
AC集群,打造高可靠无线网
控制器集群化提供不间断业务升级以及备份、扩容、负载分担等功能,提升网络稳定性,实现更优质用户体验。
更简单、灵活的配置策略
全网配置在Central AC上统一完成,并提供分级分权功能,按需划分多层管理权限。
4i能力,实现网络智愈
基于射频管理、终端管理、业务保障、网络智愈等方面下发策略,多维度打造渐进优化的无线网络。
端网协同,聚焦真实业务体验
在漫游、RRM以及关键业务维度,结合端网协同技术立体式保障终端业务体验。
提供灵活的数据转发方式
WX3500X系列无线控制器可以支持集中式转发、分布式转发、策略转发,用户根据业务需要和网络实际情况可以灵活设置转发方式。
支持运营级无线用户接入控制和管理
基于用户的接入控制是WX3500X系列无线控制器产品的一大特色,User Profile(用户配置文件)提供一个配置模板,能够保存预设配置(一系列配置的集合)。用户可以根据不同的应用场景为User Profile配置不同的内容,比如CAR(Committed Access Rate,承诺访问速率)策略和QoS(Quality of Service,服务质量)策略等。
用户访问设备时,需要先进行身份认证。在认证过程中,认证服务器会将User Profile名称下发给设备,设备会立即启用User Profile里配置的具体内容。当用户通过认证访问设备时,设备将通过这些具体内容限制用户的访问行为。当用户下线时,系统会自动禁用User Profile下的配置项,从而取消User Profile对用户的限定。因此,User Profile适用于限制上线用户的访问行为,没有用户上线(可能是没有用户接入、或者用户没有通过认证、或者用户下线)时,User Profile是预设配置,并不生效。
另外,WX3500X系列无线控制器还支持基于MAC的认证接入控制方式,这种方式不但可以使得客户在AAA服务器上对用户组进行权限的配置和修改,同时支持对具体用户的权限的配置,这种精细的用户权限控制大大增强了无线网络的可用度,网管人员可以轻松通过该方式对不同级别的人或人群进行接入权限分配。
基于MAC的VLAN同样也是WX3500X系列无线控制器的一大特色,在控制策略上,管理员可以把相同性质的用户(MAC)划分到同一个VLAN,同时在控制器上基于VLAN配置安全策略,这样做既可以简化系统配置,又可以做到用户级粒度的精细管理。
出于安全性或计费等考虑,系统管理员可能希望控制无线用户接入到网络中的位置。WX3500X系列无线控制器支持基于AP位置的用户接入控制。当无线用户接入网络时,可以通过认证服务器向AC下发允许用户接入的AP列表,在AC上进行接入控制,从而达到限制无线用户只能接入到指定位置的AP的目的。
支持信道智能切换
无线局域网中,信道是非常稀缺的资源,每个AP只能够工作在非常有限的非重叠信道上,比如对于2.4G网络,只有3个非重叠信道,所以如何智能地为AP分配信道是无线应用的关键。
无线局域网工作的频段存在大量可能的干扰源,如雷达、微波炉,它们在网络中的出现将干扰AP的正常工作。通过信道智能切换功能,可以保证每个AP能够分配到最优的信道,尽可能地减少和避免相邻信道干扰,而且通过实时信道干扰检测,可以让AP实时避开雷达,微波炉等干扰源。
支持智能AP负载分担
802.11协议把无线漫游的决策交给了无线客户端,无线客户端一般会根据AP信号强度(RSSI)选择AP,这很容易导致大量的客户端仅仅因为某个AP信号较强而连接到同一个AP上。由于这些客户端共享无线媒介,导致每个客户端的网络吞吐将大量减少。
智能负载分担方法可以实时地分析无线客户端的位置,动态地确定在当前时刻和当前位置下哪些AP可以彼此分担负载,通过控制无线客户端接入的AP,来实现这些AP间的负载分担。系统不仅支持按照用户在线会话数的负载分担,而且支持按照用户流量负载的分担。
支持7层移动安全检测/防御(wIDS/wIPS)
WX3500X系列无线控制器支持的移动安全防御模式有:黑名单、白名单、Rogue防御、畸形报文检测、非法用户下线、基于可预设升级的Signature MAC层攻击检测与反制(例如:DoS攻击,Flood攻击、中间人攻击)等。配合无线应用控制台内置的海量智能专家知识库,可以获得灵活的无线安全策略判断依据,对于明确的非法攻击源(AP或终端等),实现可视的物理位置跟踪监控和交换机物理端口移除。
通过配合H3C专业核心层防火墙/IPS设备,更可以实现移动园区的7层立体安全防御,满足真正的从无线(802.11)到有线(802.3)端到端安全防护需求。
支持802.1x认证,MAC地址认证,Portal认证等
WX3500X系列无线控制器支持多种认证方式:
802.1x认证:WX3500X系列无线控制器支持TLS、PEAP、TTLS、MD5、SIM卡等多种802.1x的认证方式,同时还支持802.1x本地认证方式,提供对MD5、TLS、PEAP这几种主流认证方式的支持,用户不再需要额外配置AAA服务器。
MAC地址认证:WX3500X系列无线控制器支持MAC地址认证,对一些手持终端(例如:Wi-Fi Phone、手持移动终端等)并不方便采取电脑上的认证方式,MAC地址认证却可以轻松解决该问题,实现在控制器或者AAA服务器上配置好合法的MAC地址,这些MAC地址对应的终端就可以被允许被接入到网络,而事先没有被配置的非法终端则不能接入无线网络
Portal认证:WX3500X系列无线控制器提供内置的Portal认证服务器。
支持IPv4/IPv6双协议栈(Native IPv6)
WX3500X系列无线控制器支持无线客户的IPV6接入。在隧道起点AP上,由于设备对IPv6感知,所以可以做到IPv6优先级到隧道优先级映射等;在AC侧,同样可以对IPv6报文进行ACL过滤等复杂的控制和过滤。
WX3500X系列无线控制器同样可以部署在IPv6网络中,AC和AP之间自动协商成IPv6隧道。AC和AP完全工作在IPv6状态时,无线控制器仍能正确地感知IPv4,并能处理无线客户的IPv4报文。WX3500X系列无线控制器IPv4/6灵活的适应能力,能满足客户在IPv4到IPv6网络迁移中的各种复杂的应用,既能在IPv6孤岛中给客户提供IPv4的服务,同时也能在IPv4孤岛中让用户轻松通过IPv6协议登录到网络。
针对校园网层出不穷的IPv6伪造报文攻击,WX3500X系列无线控制器支持IPv6 SAVI(Source Address Validation,源地址有效性验证)技术。通过对地址分配协议的侦听获取用户的IP地址,保证随后的应用中能够使用正确地址上网,且不可伪造他人IP地址,保证了源地址的可靠性。同时,通过IPv6 SAVI和Portal技术的结合,进一步保证了所有上网用户报文的真实性和安全性。
提供端到端的QoS
WX3500X系列无线控制器不但对Diff-Serv标准完善支持,同时增加了对IPv6协议的QoS支持。QoS Diff-Serv 模型中主要包括流分类、流量监管(Policing)、队列管理、队列调度(Scheduling)等,完整实现了标准中定义的EF、AF1~AF4、BE等六组PHB及业务,使网络运营商可为用户提供具有不同服务质量等级的服务保证,使Internet真正成为同时承载数据、语音和视频业务的综合网络。
支持快速的二、三层漫游
H3C公司的集中式无线架构不但能方便地实施二层漫游,而且非常有利于跨三层的漫游实现,用Fat AP部署的WLAN网络,由于AP之间传递的信息有限,导致垮三层的漫游实现及其麻烦,集中式架构非常容易解决跨三层漫游的问题,WX3500X系列无线控制器支持二、三层漫游,漫游域不受子网的限制。这种优秀的漫游特性,可以让客户在规划无线网络时,无需过多考虑现有网络的规划,更多关注在无线信号的覆盖即可,这种方式大大简化了前期的网络规划,减少了网络规划成本。
传统模式下,当无线用户终端使用802.1x作为802.11接入认证和密钥交互的手段时,无线用户终端和AP间的交互报文会非常的多。当无线用户终端在两个AP间漫游时,如果无线用户终端在新AP接入的过程完全遵从完整的802.1x的交互过程,势必造成漫游切换的时间过长,对于某些对漫游切换时间敏感的业务(例如语音业务),这样的长切换时间是无法忍受的。WX3500X系列无线控制器采用Key caching技术完成漫游时用户的快速切换,Key caching技术在用户的安全接入和快速漫游间做了一个很好的平衡,可以使无线用户终端在两个AP间进行漫游时不必重新进行完整的802.1x认证交互过程,同时又能保证用户身份的识别和密钥使用的连续性;无线用户采用快速漫游方式,单AC内漫游时间不超过50ms,满足了语音业务的苛刻需求。
支持多种分支机构远程接入场景
当AC和AP通过广域网链路进行连接时,用户可以灵活选择集中转发或本地转发模式,提升分支机构局域网打印访问、终端互访等业务性能。
当广域网链路发生故障或AC发生故障时,在线用户不掉线,可以继续访问本地资源,并且可支持AC逃生功能。
当分支机构AP部署于私网内时,AC可以穿越NAT与AP进行通信。
*支持能力请查询版本说明书
支持Wi-Fi定位
WX3500X系列支持无线定位,采用了类似于雷达探测的原理,AP主动给客户端发送探测报文,通过计算发送报文和响应报文的时间差来计算客户端的位置。
支持5G核心网融合部署
WX3500X系列产品融合5G核心网功能,作为WLAN和5G一体化接入网关(需定制部署)。WX3500X系列的5G核心网功能与H3C vSCN5100(Virtual Smart Core Network,虚拟化智慧核心网)共软件平台,包括UDM、AUSF、AMF、SMF、UPF等网元,遵循3GPP标准,支持4G/5G融合接入。同时融合IMS(IP多媒体子系统),支持VoNR高清音视频业务。可以很好的满足垂直行业对5G核心网以及5G+WLAN融合接入的需求。
WX3500X系列产品结合H3C系列移动通信产品(如扩展型皮站、终端CPE等),可以为行业客户打造5G物理专网,形成完整的5G端到端解决方案。
本地支持智能运维
WX3500X系列产品可以搭配WBCE0插卡在控制器本地实现无线智能运维功能。
产品规格
硬件规格
项目 | WX3510X | WX3520X | WX3540X |
外形尺寸(长×宽×高) | 440mm×435mm×44mm | ||
满配重量 | 9kg | ||
接口 | 固化8*GE + 8*SFP + 1*OOBM(带外管理口)+2*USB | ||
可扩展8GE+2*SFP+ | 可扩展8*GE + 4*SFP+ | ||
吞吐量 | 10Gbps | 20Gbps | 40Gbps |
电源 | 可插拔电源(支持热插拔),1+1冗余备份,支持交流或直流(电源需另行配置) | ||
工作 | 0℃~45℃ | ||
工作/存储环境相对湿度(非凝露) | 5%~95% | ||
安全规范 | UL 60950-1 CAN/CSA C22.2 No 60950-1 IEC 60950-1 AS/NZS 60950-1 FDA 21 CFR Subchapter J GB 4943.1 UL 62368-1 CAN/CSA C22.2 No 62368-1 IEC 62368-1 EN 62368-1 AS/NZS 62368-1 |
||
EMC | CISPR 32:2015 Class A EN 55032:2012 Class A EN 55032:2012/AC:2013 Class A EN 55032:2015 Class A AS/NZS CISPR 32:2015 Class A CISPR 24:2010 EN 55024:2010 EN 55024:2010+A1:2015 CISPR 35:2016 EN 55035:2017 EN 300 386 V1.6.1(2012-09) EN 300 386 V2.1.1(2016-07) EN 61000-3-2:2014 EN 61000-3-3:2013 VCCI-CISPR 32:2016 Class A FCC Part 15 Subpart B Class A ICES-003 Issue 7 Class A ANSI C63.4-2014 ANSI C63.4a-2017 GB/T9254-2008 |
||
MTBF | ≥83年 |
软件规格
项目 | 支持特性 | WX3510X | WX3520X | WX3540X |
基础性能 | 缺省管理AP数 | 0 | ||
License步长 | 1/4/8/16/32/64/128 | 1/4/8/16/32/64/128/512 | 1/4/8/16/32/64/128/512/1024 | |
最大管理AP数(集中转发) | 384 | 768 | 1536 最高可扩展至2048 |
|
无线用户接入数 | ≥7.5K | ≥15K | ≥30K | |
802.11MAC | 802.11协议簇 | 支持 | ||
多SSID(每射频口) | 16 | |||
隐藏SSID | 支持 | |||
用户在线检测 | 支持 | |||
用户无流量自动老化 | 支持 | |||
多国家码部署 | 支持 | |||
无线用户隔离 | 支持: 1、无线VLAN的无线用户二层隔离 2、基于SSID的无线用户二层隔离 |
|||
本地转发 | 支持:基于SSID+VLAN的本地转发 | |||
CAPWAP | 自动输入AP序列号 | 支持 | ||
AC发现(DHCP option43、DNS方式) | 支持 | |||
IPv6隧道 | 支持 | |||
时钟同步 | 支持 | |||
Jumbo帧发送 | 支持 | |||
通过AC配置AP基本网络参数 | 支持:配置静态IP、VLAN、接入的AC地址等 | |||
AP与AC间穿越NAT | 支持 | |||
AC可集中管理AP,并集中升级 | 支持 | |||
IETF5415 | 支持 | |||
漫游能力 | 同一AC内,不同AP下二、三层漫游 | 支持 | ||
不同AC间,不同AP下二、三层漫游 | 支持 | |||
接入控制 | Open system、Shared-Key | 支持 | ||
WEP-64/128、动态WEP | 支持 | |||
WPA、WPA2、WPA3 | 支持 | |||
TKIP | 支持 | |||
CCMP | 支持(11n推荐) | |||
SSH v1.5/v2.0 | 支持 | |||
无线EAD(终端准入控制) | 支持 | |||
Portal认证 | 支持:远程、外挂服务器 | |||
Portal穿越Proxy | 支持 | |||
802.1x认证 | 支持: EAP-TLS、EAP-TTLS、EAP-PEAP、EAP-MD5、EAP-SIM、LEAP、EAP-FAST、EAP offload (仅支持TLS, PEAP) |
|||
本地认证 | 支持:802.1X、Portal、MAC认证 | |||
LDAP认证 | 支持: 1、支持802.1X与Portal接入 2、802.1X接入时支持EAP-GTC和EAP-TLS |
|||
ARP防攻击 | 支持:无线SAVI | |||
SSID防假冒 | 支持:用户名与SSID绑定 | |||
基于域、SSID选择AAA服务器 | 支持 | |||
AAA服务器备份 | 支持 | |||
无线用户的本地AAA服务器 | 支持 | |||
TACACS+ | 支持 | |||
QoS | 优先级映射 | 支持 | ||
L2-L4流分类 | 支持 | |||
流量限速 | 支持:流控粒度8Kbps | |||
802.11e/WMM | 支持 | |||
基于用户角色(User Profile)的接入控制 | 支持 | |||
智能带宽保障 | 支持: 在流量未拥塞时,确保不同优先级SSID下的报文都可以自由通过;在流量拥塞时,确保每个SSID可以保持各自约定的最小带宽 |
|||
QoS Optimization for SVP phone | 支持 | |||
CAC(Call Admission Control) | 支持:基于用户数/带宽的CAC | |||
端到端QoS | 支持 | |||
AP上行口限速 | 支持 | |||
无线资源管理 | 国家码锁定 | 支持 | ||
静态信道、功率设置 | 支持 | |||
动态信道、功率设置 | 支持 | |||
动态速率调节 | 支持 | |||
空口黑洞检测和补偿 | 支持 | |||
AP均衡组 | 支持:自动发现并灵活设定 | |||
安全防御 | 静态黑名单 | 支持 | ||
动态黑名单 | 支持 | |||
白名单 | 支持 | |||
非法AP检测 | 支持:基于SSID、BSSID、设备OUI等 | |||
非法AP反制 | 支持 | |||
防无线泛洪攻击(Flooding Attack) | 支持 | |||
防仿冒攻击(Spoof Attack) | 支持 | |||
防Weak IV攻击 | 支持 | |||
wIPS | 支持:可实现7层移动安全防御 | |||
二层协议 | ARP代答 | 支持 | ||
802.1q | 支持 | |||
802.1x | 支持 | |||
广播风暴抑制 | 支持 | |||
VLAN Pool | 支持 | |||
IP协议 | IPv4协议 | 支持 | ||
Native IPv6(原生) | 支持 | |||
IPv6 SAVI | 支持 | |||
IPv6 Portal | 支持 | |||
备份 | AC间1+1备份 | 支持 | ||
DHCP Server双机热备 | 支持 | |||
网管与配置 | 管理方式 | 支持:WEB、SNMP v1/v2/v3、RMON等 | ||
配置方式 | 支持:WEB、CLI、TELNET、FTP等 | |||
绿色节能 | 按需定时关闭AP射频口 | 支持 | ||
按需定时关闭无线服务 | 支持 | |||
逐包功率控制(PPC) | 支持 | |||
WLAN综合应用 | 实时频谱防护(RTSG) | 支持 | ||
报文发送公平调度机制 | 支持 | |||
802.11n报文发送抑制 | 支持 | |||
基于连接状况的流量整形 | 支持 | |||
调整AP间信道共享 | 支持 | |||
调整AP间信道重用 | 支持 | |||
射频接口发送速率调整算法 | 支持 | |||
忽略弱信号无线报文 | 支持 | |||
禁止弱信号客户端接入 | 支持 | |||
禁止组播报文缓存 | 支持 | |||
Blink状态检测(部分AP) | 支持 | |||
语音视频空口优化 | 支持 | |||
802.11w | 支持 | |||
802.11r | 支持 | |||
5G核心网* | 功能网元 | AMF、SMF、UPF、AUSF、UDM、NSSF等 | ||
最大基站数 | 100 | |||
最大签约用户数 | 10K静态签约用户 | |||
在线用户数 | 5K | |||
最大会话数 | 5K | |||
4G/5G融合 | 支持 | |||
双机热备 | 支持 | |||
VoNR | 支持VoNR 5G音视频,支持内置IMS | |||
信令跟踪 | 支持基于网元间接口、基于用户的信令跟踪 | |||
切片能力 | 支持虚拟切片和物理切片能力,支持AMF reroute,支持基于切片选择独立用户面UPF网元功能 | |||
其他软件特性 | 支持IPv4、IPv6双栈;支持静态和动态路由协议,支持VPN;支持IP Sec;支持NAT、后路由、二次鉴权、L2TP功能;支持NTP时钟同步;支持5G LAN。 |
标*项仅WX3540X支持
发表评论