H3C WX5500E系列多业务无线控制器

__kindeditor_temp_url__提供对802.11n ap的管理wx5500e系列无线控制器在支持对传统802.11a/b/gap管理的同时，还可以与h3c基于802.11n协议的ap配合组网，从而提供相当于传统802.11a/b/g协议数倍的无线接入速率，能够覆盖更大的范围，使无线多媒体应用成为现实。
提供灵活的数据转发方式传统的无线控制器部署一般采用集中式转发模式，ac可以对报文进行全面控制和安全监管，但所有的无线业务流量需要到ac进行统一处理，核心链路带宽和ac转发能力容易成为瓶颈。特别是ap和ac通过广域网方式进行连接时，ap作为数据接入设备部署在分支机构，而ac部署在总部，所有用户数据由ap发送到ac，再由ac进行集中转发，导致转发效率低下。
wx5500e系列无线控制器可以支持集中式转发和分布式转发，用户根据业务需要和网络实际情况可以灵活设置转发方式。
支持运营级无线用户接入控制和管理基于用户的接入控制是wx5500e系列无线控制器产品的一大特色，userprofile(用户配置文件)提供一个配置模板，能够保存预设配置(一系列配置的集合)。用户可以根据不同的应用场景为userprofile配置不同的内容，比如car(committed access rate，承诺访问速率)策略和qos(quality ofservice，服务质量)策略等。
用户访问设备时，需要先进行身份认证。在认证过程中，认证服务器会将userprofile名称下发给设备，设备会立即启用userprofile里配置的具体内容。当用户通过认证访问设备时，设备将通过这些具体内容限制用户的访问行为。当用户下线时，系统会自动禁用userprofile下的配置项，从而取消user profile对用户的限定。因此，userprofile适用于限制上线用户的访问行为，没有用户上线(可能是没有用户接入、或者用户没有通过认证、或者用户下线)时，userprofile是预设配置，并不生效。
另外，wx5500e系列无线控制器还支持基于mac的认证接入控制方式，这种方式不但可以使得客户在aaa服务器上对用户组进行权限的配置和修改，同时支持对具体用户的权限的配置，这种精细的用户权限控制大大增强了无线网络的可用度，网管人员可以轻松通过该方式对不同级别的人或人群进行接入权限分配。
基于mac的vlan同样也是wx5500e系列无线控制器的一大特色，在控制策略上，管理员可以把相同性质的用户(mac)划分到同一个vlan，同时在控制器上基于vlan配置安全策略，这样做既可以简化系统配置，又可以做到用户级粒度的精细管理。
出于安全性或计费等考虑，系统管理员可能希望控制无线用户接入到网络中的位置。wx5500e系列无线控制器支持基于ap位置的用户接入控制。当无线用户接入网络时，可以通过认证服务器向ac下发允许用户接入的ap列表，在ac上进行接入控制，从而达到限制无线用户只能接入到指定位置的ap的目的。
提供高可靠的备份功能wx5500e系列无线控制器采用机架式系统设计，重要的部件可更换，双电源设计，满足高可靠性的要求。
1+1快速备份wx5500e系列无线控制器支持毫秒(ms)级业务备份，ap会同时和两台无线控制器建立capwap链路，一台作为主控制器，另外一台作为备份控制器，但只有和主控制器建立的capwap链路处于工作状态。当主控制器异常down机时，备份控制器和主控制器之间的心跳检测机制可以保证在100毫秒(ms)之内检测到主设备的异常，并通知ap将主控制器capwap链路切换，保证控制信号的不间断传送。
n+1备份当多台wx5500e系列无线控制器部署时，n+1备份方案为可靠性和经济性折中的最好方案。例如其中n台ac各自独立工作，外加一台ac作为备份ac，其中n台ac中的任何一台出现故障，都会切换到备份ac上。而当主ac恢复后，ap将自动回切到主ac上，可保障ap尽量同主ac连接。其中wx6103每台备份设备最多可以支持4台主设备(即4+1)。
n+n备份当多台wx5500e系列无线控制器部署时，n+n备份可以实现最灵活的备份方案。ap初次会选择一个最优的控制器进行接入，当链接出现问题的时候，ap会在网络中重新选择一个新的最优控制器重新进行注册接入，进而实现了ap的接入备份，以及ac间负载均担。ap对最优控制器的选择，可以根据控制器负载情况动态计算(ac间动态负载均担)或事先指定控制器优先级等多种方式，十分灵活。实现n+n备份，组网中总ap数量只要小于(总ac数量-1)台控制器能够管理的ap规格即可满足备份的要求。
portal 1+1备份当多台wx5500e系列无线控制器工作在双机模式时，可以实现portal认证高可靠。用户通过其中一台ac完成portal认证。双机将相互同步用户的认证状态等数据。任何一台acdown时，由于另台ac已经预同步了用户的认证数据，所以可以避免portal重认证和用户业务中断，满足了电信级可靠性需求。
dhcp server热备当多台wx5500e系列无线控制器工作在双机模式时，用户通过其中一台ac获得dhcp地址分配后，ac间将同步地址池信息。一台acdown机后，当用户ip地址租约到期时，将发起dhcp请求续约。另一台ac用预备份的地址池数据回应续约，避免了为用户重新分配地址和用户业务中断。
支持信道智能切换无线局域网中，信道是非常稀缺的资源，每个ap只能够工作在非常有限的非重叠信道上，比如对于2.4g网络，只有３个非重叠信道，所以如何智能地为ap分配信道是无线应用的关键。
无线局域网工作的频段存在大量可能的干扰源，如雷达、微波炉，它们在网络中的出现将干扰ap的正常工作。通过信道智能切换功能，可以保证每个ap能够分配到最优的信道，尽可能地减少和避免相邻信道干扰，而且通过实时信道干扰检测，可以让ap实时避开雷达，微波炉等干扰源。
支持智能ap负载分担802.11协议把无线漫游的决策交给了无线客户端，无线客户端一般会根据ap信号强度(rssi)选择ap，这很容易导致大量的客户端仅仅因为某个ap信号较强而连接到同一个ap上。由于这些客户端共享无线媒介，导致每个客户端的网络吞吐将大量减少。
智能负载分担方法可以实时地分析无线客户端的位置，动态地确定在当前时刻和当前位置下哪些ap可以彼此分担负载，通过控制无线客户端接入的ap，来实现这些ap间的负载分担。系统不仅支持按照用户在线会话数的负载分担，而且支持按照用户流量负载的分担。
支持7层移动安全检测/防御(wids/wips)wx5500e系列无线控制器支持的移动安全防御模式有：黑名单、白名单、rogue防御、畸形报文检测、非法用户下线、基于可预设升级的signaturemac层攻击检测与反制(例如：dos攻击，flood攻击、中间人攻击)等。配合无线应用控制台内置的海量智能专家知识库，可以获得灵活的无线安全策略判断依据，对于明确的非法攻击源(ap或终端等)，实现可视的物理位置跟踪监控和交换机物理端口移除。
通过配合h3c专业核心层防火墙/ips设备，更可以实现移动园区的7层立体安全防御，满足真正的从无线(802.11)到有线(802.3)端到端安全防护需求。
支持realtime spectrum guard(实时频谱保护)模式realtime spectrumguard(rtsg)是h3c创新提出的针对无线环境频谱状态的专业监控方案。全系列无线控制器可以和内置射频采集模块的sensorap，实现深度融合的射频监控和实时频谱防护。
rtsg的控制台融合部署于h3cimc智能管理中心，通过capwap管理隧道，与sensorap进行通信和数据采集，实现7x24小时的无线环境质量监控、无线网络能力趋势评估以及非许可干扰告警。通过图形化方式，主动探测和识别所有2.4ghz/5ghz波段的射频干扰源(wi-fi或非wi-fi)，可提供实时fft图，频谱密度图、光谱图、占空比图、事件光谱图、频道功率、干扰功率等；可自动识别干扰源，确定有问题的无线设备的位置，确保无线网络发挥最佳的性能。结合h3ciar智能报表组件，可实现全覆盖区内的射频质量历史记录的存储、追溯、回放等，自动生成客户化的趋势、合规和审计报告。
针对用户无线环境监管的不同层次需求，rtsg方案的部署可以灵活采用localmode或monitor mode。当工作在localmode时，可以在获得有效的频谱防护前提下，保持正常的用户接入和数据包转发。
支持智能无线业务感知(wiaa)wx5500e系列无线控制器支持智能感知无线业务流量，实现基于无线用户状态的弹性策略识别与管理，优化语音及视频业务承载。
支持远程探针分析wx5500e系列无线控制器支持针对ap的远程探针分析功能。可以对覆盖区内的wi-fi报文进行侦听捕获并实时镜像到本地分析设备供网络管理员进行故障排查、优化分析。远程探针分析功能既可以针对工作信道进行无收敛镜像，也可以对所有信道轮询采样，灵活满足无线网络监控运维要求。
内置射频优化引擎(roe)wx5500e系列无线控制器内置针对ap的射频优化引擎(rf optimizingengine)，通过基于特征和协议的射频优化，有效提升无线部署中高密度接入、流媒体传输等场景中的应用加速能力和质量保障效果。其中包含：多用户公平调度、混合接入公平、过滤干扰、速率最优、频谱导航、组播增强(ipv4/ipv6)、逐包功率控制和智能带宽保障等。
支持802.1x认证，mac地址认证，portal认证等wx5500e系列无线控制器支持多种认证方式：
802.1x认证：wx5500e系列无线控制器支持tls、peap、ttls、md5、sim卡等多种802.1x的认证方式，同时还支持802.1x本地认证方式，提供对md5、tls、peap这几种主流认证方式的支持，用户不再需要额外配置aaa服务器。wx5500e系列无线控制器还支持通过802.1x认证后动态授权vlan和acl功能，对用户的策略可以事先设定好，用户认证时，系统自动配置客户权限。
mac地址认证：wx5500e系列无线控制器支持mac地址认证，对一些手持终端(例如：wi-fiphone、手持移动终端等)并不方便采取电脑上的认证方式，mac地址认证却可以轻松解决该问题，实现在控制器或者aaa服务器上配置好合法的mac地址，这些mac地址对应的终端就可以被允许被接入到网络，而事先没有被配置的非法终端则不能接入无线网络，该功能极大地方便了例如无线医疗系统等应用，mac地址认证可以确保只有医院的pda工作终端才能接入到无线网络，而拒绝病人的无线pda使用专用无线网络。
portal认证：wx5500e系列无线控制器提供内置的portal认证服务器。该认证方式无需客户端配合，直接通过浏览器webportal页面作为认证通道，当用户认证通过后，可以灵活跳转到指定访问首页并启动相应授权和计费。同时也可以根据策略要求，灵活推送定制portal页面，达到广告宣传、信息传递的作用，广泛使用在无线校园、无线城市、访客接入等应用场景。
支持ipv4/ipv6双协议栈(native ipv6)wx5500e系列无线控制器支持无线客户的ipv6接入。在隧道起点ap上，由于设备对ipv6感知，所以可以做到ipv6优先级到隧道优先级映射等；在ac侧，同样可以对ipv6报文进行acl过滤等复杂的控制和过滤。
wx5500e系列无线控制器同样可以部署在ipv6网络中，ac和ap之间自动协商成ipv6隧道。ac和ap完全工作在ipv6状态时，无线控制器仍能正确地感知ipv4，并能处理无线客户的ipv4报文。wx5500e系列无线控制器ipv4/6灵活的适应能力，能满足客户在ipv4到ipv6网络迁移中的各种复杂的应用，既能在ipv6孤岛中给客户提供ipv4的服务，同时也能在ipv4孤岛中让用户轻松通过ipv6协议登录到网络。
针对校园网层出不穷的ipv6伪造报文攻击，wx5500e系列无线控制器支持ipv6savi(source addressvalidation，源地址有效性验证)技术。通过对地址分配协议的侦听获取用户的ip地址，保证随后的应用中能够使用正确地址上网，且不可伪造他人ip地址，保证了源地址的可靠性。同时，通过ipv6savi和portal技术的结合，进一步保证了所有上网用户报文的真实性和安全性。武汉胜环物资资源有限公司:

---

武汉胜环物资资源有限公司
邢志强
13264735885
华师科技园2栋4楼