H3C无线接入控制器特点

产品特点

l            方便部署、易于管理

传统无线网络的部署需要网络管理员对网络中的每一个AP进行逐一配置，当无线网络规模较大时网络管理员往往要配置上百个AP，工作量巨大，且容易出错。而采用无线控制器和FIT AP配合组网时，只需要在无线控制器上对一类相同属性的AP建立配置模板，AP在启动时可以自动从无线控制器上下载最新的配置文件。另外，由于AP本身不保存任何配置，万一设备丢失，也可以保证网络配置不被窃取。AP支持启动后自动获取IP地址、自动获取AC的工作列表并自动和AC建立关联，真正做到了零配置、免维护、即插即用，极大地减轻了网络管理员在部署网络阶段的维护工作量。当网络正常运行以后，无线控制器对所管理的AP以及AP所接入的用户进行实时监控，并能将这些信息实时上报给网管。维护人员可以指定AP或用户进行在线服务策略设定和安全策略设定，使网络配置策略更加灵活。同时，无线控制器支持AP软件自动更新功能，AP在每次重新启动时会自动比较当前运行的软件版本和无线控制器上的最新版本是否一致，如不一致AP会自动更新本地的软件映像，软件升级不再需要网管人员的干预。

l            三层漫游

H3C S75无线板卡，S75E无线板卡和S95无线板卡配合Fit AP组网可支持三层漫游，并支持快速漫游，漫游切换时间小于50ms，满足对切换时间要求最苛刻的语音业务。

l            丰富的RF管理和安全

RF管理功能，可以使得无线网络的布网灵活性大大增强，网络的可维护性得到很大的提高。AP的功率调整和信道切换是网络部署和调试时不可缺少的重要手段，信道和功率还需要按照国家代码自动设置，H3C S75无线板卡，S75E无线板卡和S95无线板卡的RF管理功能使得网络部署非常简单。RSSI/SNR的不断更新，更是让系统可以适时了解每一个无线用户所处电磁环境的好坏、离AP的距离，从而可以采取相应的策略来提升网络可用性。

l            支持智能的负载均衡

支持按接入用户数量和流量的复杂均衡方式，当无线控制器发现AP的负载超过设定的门限值以后，对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的AP可供用户接入，如果有则AP会拒绝用户的关联请求，用户会转而接入其他负载较轻的AP，但如果无线用户不在AP的重叠覆盖区内，传统的负载均衡方式往往会导致连接不上网络，造成误均衡。H3C公司创新性地支持智能负载均衡技术，保证只对处于AP覆盖重叠区的无线用户才启动AP负载均衡功能，有效的避免误均衡的出现，从而最大限度的提高了无线网络容量。

l            高可靠的备份功能

H3C S75无线板卡，S75E无线板卡和S95无线板卡支持AC组备份功能，通过预先配置，AP优先同主AC建立CAPWAP链路，当主AC不可用时，AP会自动寻找AC组中的第二个主AC，并和第二个主AC建立CAPWAP链路，从而达到AC间业务备份的目的。

H3C S75无线板卡，S75E无线板卡和S95无线板卡还支持100ms业务热备份，AP会同时和两台无线控制器建立CAPWAP链路，一台作为主设备，另外一台作为备份设备，但只有和主设备建立的CAPWAP链路处于工作状态。当主控制器异常down机时，备份控制器和主控制器之间的心跳检测机制可以保证在100毫秒之内检测到主设备的异常，并通知AP将主备CAPWAP链路切换，保证控制信号的不间断传送。

l            IPv6

H3C S75无线板卡，S75E无线板卡和S95无线板卡实现了IPv4/IPv6双协议栈。AP和无线控制器之间可以穿过IPv6网络互联，从而使组网方式更加灵活，可以满足今后网络发展的需要，保护用户投资。

l            完善的QoS

H3C S75无线板卡，S75E无线板卡和S95无线板卡基于H3C公司最新的Comware V5平台开发，不但对Diff-Serv标准进行了完善，同时还增加了对IPv6协议的QoS支持。QoS Diff-Serv 模型中主要包括流分类、流量监管（Policing）、队列管理、队列调度（Scheduling）等，完整实现了标准中定义的EF、AF1～AF4、BE等六组PHB及业务，可为用户提供具有不同服务质量等级的服务保证，真正成为同时承载数据、语音和视频业务的综合网络。

l            支持隧道QoS

AP接收到的无线报文首先要通过CAPWAP隧道送到AC上进行分析处理，H3C S75无线板卡，S75E无线板卡和S95无线板卡支持无线QoS到有线QoS/CoS的映射。在AP侧，无线域的QoS信息（802.11E）可以被映射到外层隧道的有线二层域（802.1p）和三层域（DSCP）中，这样可以保证高优先级无线报文在有线网络上受到更好的优先级保证。

l            支持多种认证计费方式

H3C S75无线板卡，S75E无线板卡和S95无线板卡支持802.1x认证、portal认证、MAC地址认证、PPPoE认证等多重认证方式。

H3C S75无线板卡，S75E无线板卡和S95无线板卡支持TLS、PEAP、TTLS、MD5、SIM卡等多种802.1x的认证方式，同时还支持通过802.1x认证后下发VLAN和ACL功能，完成不同用户的动态授权。Portal认证方式解决了不便于安装客户端用户的安全认证问题。MAC地址认证功能解决了一些手持终端（例如：WiFi Phone、手持移动终端等）并不方便采取电脑上的认证问题。PPPoE认证，更能满足一些客户的运营级需求。

同时板卡系列控制器可支持基于时长的计费策略，其中S75E无线板卡和S95无线板卡更能提供基于目的网段的流量计费功能。

l            支持无线入侵检查WIDS（Wireless Intrusion Detection System）

H3C S75无线板卡，S75E无线板卡和S95无线板卡支持非法AP检测，黑/白名单设置和无线协议攻击防御等WIDS功能，有效的提高了无线网络的整体安全。

通过非法AP检测功能，无线网络可以自动监测非法设备（例如Rouge AP，或者Ad hoc 无线终端），并适时上报网管中心，同时对非法设备的攻击可以进行自动防护。

白名单功能确保只有名单上的无线用户才能进行数据传输，其他用户均被认为非法用户，非法用户的报文全部在AP上被丢弃，从而减少非法报文对无线网络的冲击。

另一方面，无线控制器还提供黑名单功能。用户可以通过配置方式或者控制器实时检测侦听的方式来确定设备是否被加入黑名单，被加入到黑名单中的设备发过来的报文全部在AP上丢弃，从而减少攻击报文对无线网络的冲击。无线控制器还支持多种攻击的检测，例如DOS攻击，Flood攻击，去认证、去连接报文的仿冒检测，以及无线用户Weak IV检测。特别无线协议攻击防御可以和动态黑名单配合使用，当控制器检测到攻击时，可以将发起攻击的无线客户端动态添加到动态黑名单中，从而保证WLAN系统不再被该设备攻击。

l            支持EAD无线接入

端点准入防御（EAD，Endpoint Admission Defense）解决方案从控制用户终端安全接入网络的角度入手，整合网络接入控制与终端安全产品，通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为，有效地加强了用户终端的主动防御能力，为企业网络管理人员提供了有效、易用的管理工具和手段。H3C S75无线板卡，S75E无线板卡和S95无线板卡支持无线用户的EAD接入，通过与安全策略服务器的联动，可以对感染病毒或存在系统漏洞等不合格的无线客户端进行下线、隔离、提醒或监控等多种方式的处理，只有无线客户端符合相应的安全策略之后才允许正常访问网络，从而提高了无线网络的整体安全性。

l            有线无线一体化的网管系统

IMC网管是H3C公司自主研发的新一代网络管理系统。IMC网管采用组件化结构设计，通过安装不同的业务组件实现了设备管理、软件升级管理、配置文件管理、告警管理、性能管理等功能。无论对于企业网、校园网、园区网用户还是各大运营商，IMC网管都可以提供完善的解决方案，方便用户监控、维护、管理各自的网络。配用S75无线板卡，S75E无线板卡或S95无线板卡的系列交换机可提供本地维护、远程维护、集中维护等多种维护手段，并提供完备的告警、测试、诊断、跟踪、日志等功能，方便用户的日常维护管理。

产品规格

型号			LS8M1WCM128A0 （S75无线板卡）	LSQM1WCMB0 （S75E无线板卡）	LSBM1WCM2A0 （S95无线板卡）
最大可管理AP数（个）			128	640	640
网络互连	802.3局域网协议		802.3x、802.1p、802.1q、802.1x
			ARP （免费ARP）
			VLAN（PORT-BASED VLAN/MAC-BASED VLAN）
	802.11局域网协议		802.11、802.11b、802.11g、802.11a、802.11e
			支持传输速率选择
			支持信道选择
			支持最大传输功率设置
	CAPWAP协议		支持CAPWAP协议
			支持IPV6
			支持L2/L3网络拓扑
			AP可以自动从AC更新软件版本、下载配置
	IP应用		Ping、Trace、DHCP Server、DHCP Client、DNS client、DNS Static、NTP、Telnet、TFTP Client、FTP Client、FTP Server
	IP路由		静态路由管理
	组播		支持IGMP SNOOPING
			支持MLD SNOOPING
	IPv6		IPv6基本功能、ND、PMTU、FIB、ACL
			IPv6静态路由管理
网络安全性	安全认证		MAC 地址认证、802.1x认证（EAP-TLS、EAP-TTLS、EAP-PEAP、EAP-SIM、EAP-MD5）、Portal认证、PPPoE认证、无线EAD认证
	AAA		Local认证、Radius、HWTacacs、支持认证服务器多域配置、支持备份认证服务器、支持基于ESS选择认证服务器、支持SSID和用户账号的绑定
	802.11安全和加密		支持802.11i标准、支持WPA标准、WEP(WEP64/WEP128)、TKIP、CCMP
	WIDS/WIPS		非法AP入侵检测，白名单功能，黑名单功能和无线协议攻击防御
	其他安全协议		SSH V1.5/2.0
射频管理	AP功率自动调整		支持
	信道自动设置/切换		支持，并支持自动规避
	速率调整		支持自动速率调整
	AP负载分担		基于流量或用户数
可靠性	多AC备份
	100ms业务热备份
QOS	流量监管		支持L2~L4包过滤和流分类功能
			支持CAR（Committed Access Rate）
			支持LR（Line Rate）
			支持基于用户和基于SSID的速率限制，粒度为64Kbit/s
			支持无线优先级到有线优先级的映射
	拥塞管理		FIFO、PQ、CQ、WFQ、CBQ、RTPQ
	无线QOS		支持WMM（802.11E）
维护性	网络管理		SNMP V1/V2c/V3、MIB、SYSLOG、RMON
	本地管理		命令行管理
			文件系统管理
			Dual Image
	用户接入管理		支持console口登录
			支持telnet（VTY）登录
			支持SSH登录
			支持FTP登录
	接口	管理以太网口	1	1	1
		Console	1	1	1
		USB	0	2	2

组网应用

l            企业有线无线一体化接入方案

企业有线无线一体化接入方案为H3C S75无线板卡，S75E无线板卡或S95无线板卡配合S7500系列，S7500E系列或S9500系列交换机加Fit AP最典型的应用，无线控制器与FIT AP配合使用，控制器作为无线数据控制转发中心，放在企业的中心机房，无线接入点则放到企业的各种室内、室外场所(室外组网需要与室外机箱配合使用)， Fit AP和控制器之间既可以在同一个网段，也可以不在同一个网段，它们之间通过CAPWAP协议自动建立隧道（该隧道基于UDP，可以穿越三层网络），结合以太网交换机的接入功能，这样就非常容易部署企业级有线无线一体化接入方案。从用户管理的角度出发，配合H3C公司的CAMS、iNode及iMC网管，可以做到有线设备和无线设备统一网管、有线用户和无线用户统一认证平台，从而真正实现有线无线一体化。

图1  有线无线一体化整体组网图

Fit AP和控制器之间通过CAPWAP协议通信，Fit AP通过DHCP server自动获取IP地址，并将自己的IP地址和无线控制器自动绑定，形成关联，控制器能对Fit AP的软件版本进行自动管理并集中下发设备配置，从而使网络的管理和维护极其方便。

l            地铁应用无线接入解决方案

地铁应用无线接入解决方案为无线控制器的另外一个典型的应用，在该应用中H3C S75无线板卡，S75E无线板卡或S95无线板卡配合S7500系列，S7500E系列或S9500系列交换机和AP组成的无线网络负责地铁列车运行的控制信号的可靠传送。列车控制信号通过有线网络经轨旁AP传送到车载AP，车载AP再将该信号传送到连接在车载网络上的列车控制系统中。由于无线网络传送的列车控制信号负责控制列车的启动，加速、停车等行为，因此必需保证传送信号的网络的可靠性和设备故障以后的网络快速自愈能力。在地铁应用无线接入解决方案中采用两台无线控制器控制轨旁AP，这两台无线控制器一台作为主设备另外一台作为备份设备，轨旁的AP会同时和两个无线控制器建立CAPWAP链路，但只有和主设备建立的CAPWAP链路处于工作状态。当主控制器异常down机时，备份控制器和主控制器之间的心跳检测机制可以保证在100毫秒之内检测到主设备的异常，并通知轨旁AP将主备CAPWAP链路切换，保证控制信号的不间断传送。

图2  地铁应用无线接入解决方案