H3C WX2510X-PWR-LI多业务无线控制器

h3c 是新华三技术有限公司(以下简称h3c公司)自主研发的网关型无线控制器（ac，accesscontroller）。无线控制器业务类型丰富，集精细的用户控制管理、完善的射频资源管理、7x24小时无线安全管控、二三层快速漫游、灵活的qos控制、ipv4&ipv6双栈等多功能于一体。

h3c无线控制器专门针对分支机构，小型园区无线网络需求而设计。集网关、poe供电、ac功能于一体，配合h3cfitap产品系列，支持wips、防火墙等功能，是企业组网中的多面手。同时具有丰富的端口类型，尤其自带usb接口，可连接企业相关外设。整体上减少了企业在组网时购买设备的种类和数量，帮助企业节省投资。

*h3c 无线控制器配合h3c fitap产品系列，可以满足小型企业园区wlan接入、分支机构热点覆盖等无线场景的典型应用。

提供对802.11ax ap的管理

无线控制器在支持对传统802.11a/b/g/n/acap管理的同时，还可以与h3c基于802.11ax协议的ap配合组网，从而突破传统无线网络串行通信的机制，促使无线频谱资源利用率成倍**，有效接入用户数得到了极大的**，有效减少无线网络的部署开销，极大**了高密度用户环境下的用户体验。

提供灵活的数据转发方式

传统的无线控制器部署一般采用集中式转发模式，ac可以对报文进行全面控制和安全监管，但所有的无线业务**需要到ac进行统一处理，核心链路带宽和ac转发能力容易成为瓶颈。特别是ap和ac通过广域网方式进行连接时，ap作为数据接入设备部署在分支机构，而ac部署在总部，所有用户数据由ap发送到ac，再由ac进行集中转发，导致转发效率低下。无线控制器可以支持集中式转发、分布式转发、策略转发，用户根据业务需要和网络实际情况可以灵活设置转发方式。

无线控制器同时支持集中认证本地转发的组网方式，在数据流本地转发的情况下，提供802.1x和portal的集中认证和管理。

支持运营级无线用户接入控制和管理

基于用户的接入控制是无线控制器产品的一大特色，userprofile(用户配置文件)提供一个配置模板，能够保存预设配置(一系列配置的集合)。用户可以根据不同的应用场景为userprofile配置不同的内容，比如car(committed access rate，承诺访问速率)策略和qos( ofservice，服务质量)策略等。

用户访问设备时，需要**行身份认证。在认证过程中，认证服务器会将user profile名称下发给设备，设备会立即启用userprofile里配置的具体内容。当用户通过认证访问设备时，设备将通过这些具体内容限制用户的访问行为。当用户下线时，系统会自动禁用userprofile下的配置项，从而取消user profile对用户的限定。因此，userprofile适用于限制上线用户的访问行为，没有用户上线(可能是没有用户接入、或者用户没有通过认证、或者用户下线)时，userprofile是预设配置，并不生效。

另外，无线控制器还支持基于mac的认证接入控制方式，这种方式不但可以使得客户在aaa服务器上对用户组进行权限的配置和修改，同时支持对具体用户的权限的配置，这种精细的用户权限控制大大增强了无线网络的可用度，网管人员可以轻松通过该方式对不同级别的人或人群进行接入权限分配。

基于mac的vlan同样也是无线控制器的一大特色，在控制策略上，管理员可以把相同性质的用户(mac)划分到同一个vlan，同时在控制器上基于vlan配置安全策略，这样做既可以简化系统配置，又可以做到用户级粒度的精细管理。

出于安全性或计费等考虑，系统管理员可能希望控制无线用户接入到网络中的位置。无线控制器支持基于ap位置的用户接入控制。当无线用户接入网络时，可以通过认证服务器向ac下发允许用户接入的ap列表，在ac上进行接入控制，从而达到限制无线用户只能接入到指定位置的ap的目的。

提供可靠的网关功能

定位于中小企业，在无线控制器的基础上兼有分支机构的网关功能。双wan口设计，为上行链路备份提供了基础条件。同时，支持pppoe、nat网关功能、动态ip地址、静态ip地址设定等网关通用功能。

支持bonjour gateway

无线控制器支持bonjourgateway功能，使小型企业内部可以很方便的使用apple 设备，如打印机、电视机和平板电脑。

支持信道智能切换

无线局域网中，信道是非常稀缺的资源，每个ap只能够工作在非常有限的非重叠信道上，比如对于2.4g网络，只有3个非重叠信道，所以如何智能地为ap分配信道是无线应用的关键。

无线局域网工作的频段存在大量可能的干扰源，如雷达、微波炉，它们在网络中的出现将干扰ap的正常工作。通过信道智能切换功能，可以保证每个ap能够分配到*优的信道，尽可能地减少和避免相邻信道干扰，而且通过实时信道干扰检测，可以让ap实时避开雷达，微波炉等干扰源。

支持智能ap负载分担

802.11协议把无线漫游的决策交给了无线客户端，无线客户端一般会根据ap信号强度(rssi)选择ap，这很容易导致大量的客户端仅仅因为某个ap信号较强而连接到同一个ap上。由于这些客户端共享无线媒介，导致每个客户端的网络吞吐将大量减少。

智能负载分担方法可以实时地分析无线客户端的位置，动态地确定在当前时刻和当前位置下哪些ap可以彼此分担负载，通过控制无线客户端接入的ap，来实现这些ap间的负载分担。系统不仅支持按照用户在线会话数的负载分担，而且支持按照用户**负载的分担。

支持7层移动安全检测/防御(wids/wips)

无线控制器支持的移动安全防御模式有：黑名单、白名单、rogue防御、畸形报文检测、非法用户下线、基于可预设升级的signaturemac层攻击检测与反制(例如：dos攻击，flood攻击、中间人攻击)等。配合无线应用控制台内置的海量智能专家知识库，可以获得灵活的无线安全策略判断依据，对于明确的非法攻击源(ap或终端等)，实现可视的物理位置跟踪监控和交换机物理端口移除。

通过配合h3c专业核心层防火墙/ips设备，更可以实现移动园区的7层立体安全防御，满足真正的从无线(802.11)到有线(802.3)端到端安全防护需求。

支持realtime spectrum guard(实时频谱保护)模式

realtime spectrumguard(rtsg)是h3c创新提出的针对无线环境频谱状态的专业监控方案。全系列无线控制器可以和内置射频采集模块的sensorap，实现深度融合的射频监控和实时频谱防护。

rtsg的控制台融合部署于h3c imc智能管理中心，通过capwap管理隧道，与sensorap进行通信和数据采集，实现7x24小时的无线环境质量监控、无线网络能力趋势评估以及非许可干扰告警。通过图形化方式，主动探测和识别所有2.4ghz/5ghz波段的射频干扰源(wi-fi或非wi-fi)，可提供实时fft图，频谱密度图、光谱图、占空比图、事件光谱图、频道功率、干扰功率等；可自动识别干扰源，确定有问题的无线设备的位置，确保无线网络发挥**的性能。结合h3ciar智能报表组件，可实现全覆盖区内的射频质量历史记录的存储、追溯、回放等，自动生成客户化的趋势、合规和审计报告。

针对用户无线环境监管的不同层次需求，rtsg方案的部署可以灵活采用local mode或monitor mode。当工作在localmode时，可以在获得有效的频谱防护前提下，保持正常的用户接入和数据包转发。

内置射频优化引擎(roe)

无线控制器内置针对ap的射频优化引擎(rfoptimizingengine)，通过基于特征和协议的射频优化，有效**无线部署中高密度接入、流媒体传输等场景中的应用加速能力和质量保障效果。其中包含：多用户公平调度、混合接入公平、过滤干扰、速率*优、频谱导航、组播增强(ipv4/ipv6)、逐包功率控制和智能带宽保障等。

支持802.1x认证，mac地址认证，portal认证等

无线控制器支持多种认证方式：

 802.1x认证：无线控制器支持tls、peap、ttls、md5、sim卡等多种802.1x的认证方式，同时还支持802.1x本地认证方式，提供对md5、tls、peap这几种主流认证方式的支持，用户不再需要额外配置aaa服务器。无线控制器还支持通过802.1x认证后动态授权vlan和acl功能，对用户的策略可以事先设定好，用户认证时，系统自动配置客户权限。

 mac地址认证：无线控制器支持mac地址认证，对一些手持终端(例如：wi-fiphone、手持移动终端等)并不方便采取电脑上的认证方式，mac地址认证却可以轻松解决该问题，实现在控制器或者aaa服务器上配置好合法的mac地址，这些mac地址对应的终端就可以被允许被接入到网络，而事先没有被配置的非法终端则不能接入无线网络，该功能极大地方便了例如无线医疗系统等应用，mac地址认证可以确保只有医院的pda工作终端才能接入到无线网络，而拒绝病人的无线pda使用专用无线网络。

 portal认证：无线控制器提供内置的portal认证服务器。该认证方式无需客户端配合，直接通过浏览器webportal页面作为认证通道，当用户认证通过后，可以灵活跳转到指定访问首页并启动相应授权和计费。同时也可以根据策略要求，灵活推送定制portal页面，达到广告宣传、信息传递的作用，广泛使用在无线校园、无线城市、访客接入等应用场景。

支持ipv4/ipv6双协议栈(native ipv6)

无线控制器支持无线客户的ipv6接入。在隧道起点ap上，由于设备对ipv6感知，所以可以做到ipv6优先级到隧道优先级映射等；在ac侧，同样可以对ipv6报文进行acl过滤等复杂的控制和过滤。

无线控制器同样可以部署在ipv6网络中，ac和ap之间自动协商成ipv6隧道。ac和ap完全工作在ipv6状态时，无线控制器仍能正确地感知ipv4，并能处理无线客户的ipv4报文。无线控制器ipv4/6灵活的适应能力，能满足客户在ipv4到ipv6网络迁移中的各种复杂的应用，既能在ipv6孤岛中给客户提供ipv4的服务，同时也能在ipv4孤岛中让用户轻松通过ipv6协议登录到网络。

针对校园网层出不穷的ipv6伪造报文攻击，无线控制器支持ipv6 savi(source addressvalidation，源地址有效性验证)技术。通过对地址分配协议的侦听获取用户的ip地址，保证随后的应用中能够使用正确地址上网，且不可伪造他人ip地址，保证了源地址的可靠性。同时，通过ipv6savi和portal技术的结合，进一步保证了所有上网用户报文的真实性和安全性。

提供端到端的qos

无线控制器基于comware平台开发，不但对diff-serv标准完善支持，同时增加了对ipv6协议的qos支持。

qos diff-serv模型中主要包括流分类、**监管(policing)、队列管理、队列调度(scheduling)等，完整实现了标准中定义的ef、af1～af4、be等六组phb及业务，使网络运营商可为用户提供具有不同服务质量等级的服务保证，使internet真正成为同时承载数据、语音和视频业务的综合网络。

支持快速的二、三层漫游

h3c公司的集中式无线架构不但能方便地实施二层漫游，而且非常有利于跨三层的漫游实现，用fatap部署的wlan网络，由于ap之间传递的信息有限，导致垮三层的漫游实现及其麻烦，集中式架构非常容易解决跨三层漫游的问题，无线控制器支持二、三层漫游，漫游域不受子网的限制。这种**的漫游特性，可以让客户在规划无线网络时，无需过多考虑现有网络的规划，更多关注在无线信号的覆盖即可，这种方式大大简化了前期的网络规划，减少了网络规划成本。

传统模式下，当无线用户终端使用802.1x作为802.11接入认证和密钥交互的手段时，无线用户终端和ap间的交互报文会非常的多。当无线用户终端在两个ap间漫游时，如果无线用户终端在新ap接入的过程完全遵从完整的802.1x的交互过程，势必造成漫游切换的时间过长，对于某些对漫游切换时间敏感的业务(例如语音业务)，这样的长切换时间是无法忍受的。无线控制器采用keycaching技术完成漫游时用户的快速切换，keycaching技术在用户的安全接入和快速漫游间做了一个很好的平衡，可以使无线用户终端在两个ap间进行漫游时不必重新进行完整的802.1x认证交互过程，同时又能保证用户身份的识别和密钥使用的连续性；无线用户采用快速漫游方式，单ac内漫游时间不超过50ms，满足了语音业务的苛刻需求。