產品概述

H3C WX3000H-F 是新華三技術有限公司(以下簡稱 H3C 公司)自主研發(fā)的新一代高性能有線無線一體化控制器(AC，Access Controller)產品系列。WX3000H-F 系列無線控制器具有大容量、高可靠、業(yè)務類型豐富等特點。硬件方面 WX3000H-F 系列配 備高性能多核 CPU。軟件方面，采用 H3C全新一代 Comware V7 網絡操作系統(tǒng)平臺（以下簡稱 V7系統(tǒng)），除支持原系統(tǒng)的精細 化用戶控制管理、完善的射頻資源管理、7X24 小時無線安全管控、二三層快速漫游、靈活的 QoS控制、IPv4&IPv6 雙棧等多項 功能之外，還支持多核控制平面、新一代無線定位、Bonjour、Hotspot2.0 等新興的無線軟件特性。相比傳統(tǒng)無線控制器，WX3000H- F系列支持云計算管理、分層 AC、IRF等多種靈活的組網方式。

H3C WX3000H-F 系列無線控制器包含 WX3024H-F 和WX3520H-F 兩款型號*。配合 H3C Fit AP 產品系列，可以滿足大中型企 業(yè)園區(qū)WLAN接入、無線城域網覆蓋、熱點覆蓋等無線場景的典型應用。

WX3024H-F 運營級核心多業(yè)務無線控制器設備外觀圖

WX3520H-F 運營級核心多業(yè)務無線控制器設備外觀圖

*詳細購買信息請咨詢 H3C當?shù)剞k事處

產品特點

提供對 Wi-Fi 6 AP (802.11ax) 的管理

WX6100E系列無線控制器在支持對傳統(tǒng) 802.11a/b/g/n/ac AP 管理的同時，還可以與 H3C 基于 Wi-Fi6（802.11ax）協(xié)議的 AP 配合組網，從而突破傳統(tǒng)無線網絡串行通信的機制，促使無線頻譜資源利用率成倍提升，有效接入用戶數(shù)得到了極大的提高，有效 減少無線網絡的部署開銷，極大提升了高密度用戶環(huán)境下的用戶體驗。

基于全新的操作系統(tǒng)

WX3000H-F 系列無線控制器采用 H3C新一代V7系統(tǒng)開發(fā)，新的操作系統(tǒng)極大提升產品的性能和可靠性，能夠滿足企業(yè)市場上 越來越復雜的網絡應用，相比上一代操作系統(tǒng)，V7系統(tǒng)具有多方面的優(yōu)勢：

l     多核控制：在 V7系統(tǒng)中可以根據(jù)需要調整 CPU控制核和轉發(fā)核的分配比例，可根據(jù)需求達到一個最佳平衡，能夠充分提升CPU的控制計算及數(shù)據(jù)計算的能力，同時提供強大的并發(fā)計算能力。

l     支持用戶態(tài)多任務：V7系統(tǒng)采用全新的軟件運行權限控制方式，絕大多數(shù)網絡業(yè)務都運行在用戶態(tài)，不同網絡業(yè)務占用不同 的任務，每個任務占用獨立的資源，某一任務運行錯誤只局限在本任務之內，不影響其他任務，使系統(tǒng)能夠保持安全可靠地運 行。

l     用戶態(tài)任務監(jiān)控：V7系統(tǒng)具有任務監(jiān)控功能，系統(tǒng)專門監(jiān)控用戶態(tài)的各個任務的運行情況，如果用戶態(tài)任務出現(xiàn)異常情況， 系統(tǒng)會重載該任務，使業(yè)務能夠迅速恢復。

l     采用新的單獨業(yè)務升級的方式：V7系統(tǒng)支持單獨的業(yè)務升級，只升級單獨的某個業(yè)務模塊而不需更新整個軟件，相對公司前 一代操作系統(tǒng)，可大大減少重啟升級的次數(shù)，保證升級的安全性，有效提供網絡穩(wěn)定性。

提供高密端口接入

WX3000H-F 系列無線控制器在對外接口提供了高密的端口接入，以支持更好的有線無線一體化接入（包括用戶接入，用戶認證， 計費等的管理，有線無線用戶統(tǒng)一管理），根據(jù)款型對外提供的不同的業(yè)務接口，以滿足不同市場的要求。產品通過提供高密端口 及多種端口類型，能滿足用戶靈活組網和網絡接入。

WX3024H-F，對外提供 24個 GE口和 2個 SFP+，其中 24個GE口可支持 PoE+供電； WX3520H-F，對外提供 8個 GE Combo 和2個 SFP+； 用戶可根據(jù)設備提供對外的接口及處理性能靈活的選擇產品。

支持星型 IRF

WX3520H-F 無線控制器可支持 H3C最新開發(fā)的星型 IRF模型，相比普通級聯(lián)的 IRF模型，星型模型采用二層網絡（虛擬成一個 中心點）連接多臺設備，組網更靈活方便。星型 IRF模型的核心思想是將多臺設備以星型拓撲連接在一起，虛擬化成一臺分布式設 備，具有以下優(yōu)勢：

l     組網簡單：星型 IRF無須專用堆疊線和專門堆疊口，只需要通過交換機或者直接連線，二層相通即可建立堆疊。

l     能力疊加：星型 IRF整體對外呈現(xiàn)一臺虛擬 AC，虛擬 AC的管理 AP和用戶數(shù)量是多臺 AC能力的疊加。

l     配置簡單：在虛擬 AC上的配置，能自動同步到所有物理 AC。

l     高可靠的備份：一臺 AC宕機不影響虛擬 AC的功能，當前 WX3520H-F 無線控制器支持最多 2臺設備堆疊。

支持分層 AC架構

分層 AC架構是 H3C創(chuàng)新提出的針對市場上多級組網需求的全新組網模型，分層 AC采用類似大型連鎖企業(yè)機構集中控制分級管 理的架構方式，由一個總的核心層管理 AC下掛多個本地接入層 AC，接入層 AC直接下掛 AP。接入層 AC主要功能包括 AP接入 和數(shù)據(jù)轉發(fā)等實時性業(yè)務，核心層 AC主要做網絡的管理控制和集中認證等非實時性全局業(yè)務，另外核心層 AC也具有普通 AC的 接入 AP及數(shù)據(jù)轉發(fā)功能。核心層 AC為高性能 AC，布置在匯聚層；而接入層 AC可以由標準 AC、All-in-one AC（具備路由、 DPI功能）或有線無線一體化交換機組成，跟現(xiàn)有網絡平級布置；分層 AC的這種架構模型將有線無線一體化理念推向新的高度， 能夠適用于大規(guī)模無線網絡部署。分層 AC模型天然支持總部和分支的應用場景，核心鏈路帶寬和核心層 AC轉發(fā)能力不再成為瓶 頸，核心層 AC集中控制，接入層 AC和下掛 AP能夠很方便的實現(xiàn)自動升級和配置同步，極大地簡化了版本升級工作。在漫游場 景，接入層 AC負責 AP間切換，漫游性能也得到極大提升。

支持丘比特定位

WX3000H-F 系列支持 CUPID方式進行無線定位，因為準確度高，也稱為丘比特定位系統(tǒng)。丘比特定位系統(tǒng)采用了類似于雷達探 測的原理，AP主動給客戶端發(fā)送探測報文，通過計算發(fā)送報文和響應報文的時間差來計算客戶端的位置。

提供新一代智能業(yè)務感知

智能業(yè)務感知（Intelligent Application Aware）為有線和無線用戶提供基于用戶角色的應用層安全、QOS和轉發(fā)策略。通過智能 業(yè)務感知功能，可以指定誰能訪問網絡，他的各種應用（如 http, ftp 等）能訪問的網絡范圍以及允許的網絡帶寬。相比上一代產 品，新一代智能業(yè)務感知業(yè)務加入了對報文深度分析（DPI）功能，擴充了應用的識別和統(tǒng)計功能。在上一代系統(tǒng)中，主要是基于 以太網協(xié)議的四層端口號粗獷的識別，（比如 80端口對應 HTTP 協(xié)議，20/21對應 FTP，8000端口對應 QQ等），用戶可以通過設置代理之類的方式繞過訪問限制，而在新一代系統(tǒng)中，直接基于以太網協(xié)議報文的七層特征，根據(jù)具體應用中報文的特征庫進行識別，對于這樣精準的識別，是可以進行完全的限制。通過報文深度解析功能不需要逐條設置禁止訪問的網站（例如京東、淘寶、 一號店等網站），而只需要設置禁止訪問購物累網站即可，簡化了配置工作，提升了效率。

提供靈活的數(shù)據(jù)轉發(fā)方式

傳統(tǒng)的無線控制器部署一般采用集中式轉發(fā)模式，AC 可以對報文進行全面控制和安全監(jiān)管，但所有的無線業(yè)務流量需要到 AC 進 行統(tǒng)一處理，核心鏈路帶寬和 AC轉發(fā)能力容易成為瓶頸。特別是 AP和AC通過廣域網方式進行連接時，AP作為數(shù)據(jù)接入設備部 署在分支機構，而 AC部署在總部，所有用戶數(shù)據(jù)由 AP發(fā)送到 AC，再由 AC進行集中轉發(fā)，導致轉發(fā)效率低下。WX3000H-F 系 列無線控制器可以支持集中式轉發(fā)、分布式轉發(fā)、策略轉發(fā)，用戶根據(jù)業(yè)務需要和網絡實際情況可以靈活設置轉發(fā)方式。

WX3000H-F 系列無線控制器同時支持集中認證本地轉發(fā)的組網方式，在數(shù)據(jù)流本地轉發(fā)的情況下，提供 802.1X和 Portal 的集中 認證和管理。

支持運營級無線用戶接入控制和管理

基于用戶的接入控制是 WX3000H-F 系列無線控制器產品的一大特色，User Profile(用戶配置文件)提供一個配置模板，能夠保存 預設配置(一系列配置的集合)。用戶可以根據(jù)不同的應用場景為 User Profile 配置不同的內容，比如 CAR(Committed Access Rate， 承諾訪問速率)策略和 QoS(Quality of Service，服務質量)策略等。

用戶訪問設備時，需要先進行身份認證。在認證過程中，認證服務器會將 User Profile 名稱下發(fā)給設備，設備會立即啟用 User Profile 里配置的具體內容。當用戶通過認證訪問設備時，設備將通過這些具體內容限制用戶的訪問行為。當用戶下線時，系統(tǒng)會自 動禁用 User Profile 下的配置項，從而取消 User Profile 對用戶的限定。因此，User Profile 適用于限制上線用戶的訪問行為，沒 有用戶上線(可能是沒有用戶接入、或者用戶沒有通過認證、或者用戶下線)時，User Profile 是預設配置，并不生效。

另外，WX3000H-F 系列無線控制器還支持基于 MAC的認證接入控制方式，這種方式不但可以使得客戶在 AAA服務器上對用戶 組進行權限的配置和修改，同時支持對具體用戶的權限的配置，這種精細的用戶權限控制大大增強了無線網絡的可用度，網管人員 可以輕松通過該方式對不同級別的人或人群進行接入權限分配。

基于 MAC 的 VLAN 同樣也是 WX3500H系列無線控制器的一大特色，在控制策略上，管理員可以把相同性質的用戶(MAC)劃分 到同一個 VLAN，同時在控制器上基于 VLAN 配置安全策略，這樣做既可以簡化系統(tǒng)配置，又可以做到用戶級粒度的精細管理。

出于安全性或計費等考慮，系統(tǒng)管理員可能希望控制無線用戶接入到網絡中的位置。WX3000H-F系列無線控制器支持基于 AP位 置的用戶接入控制。當無線用戶接入網絡時，可以通過認證服務器向 AC下發(fā)允許用戶接入的 AP列表，在 AC上進行接入控制， 從而達到限制無線用戶只能接入到指定位置的 AP的目的。

支持信道智能切換

無線局域網中，信道是非常稀缺的資源，每個 AP 只能夠工作在非常有限的非重疊信道上，比如對于 2.4G網絡，只有３個非重疊 信道，所以如何智能地為 AP分配信道是無線應用的關鍵。

無線局域網工作的頻段存在大量可能的干擾源，如雷達、微波爐，它們在網絡中的出現(xiàn)將干擾 AP的正常工作。通過信道智能切換 功能，可以保證每個 AP能夠分配到最優(yōu)的信道，盡可能地減少和避免相鄰信道干擾，而且通過實時信道干擾檢測，可以讓 AP實 時避開雷達，微波爐等干擾源。

支持智能 AP負載分擔

802.11協(xié)議把無線漫游的決策交給了無線客戶端，無線客戶端一般會根據(jù) AP信號強度(RSSI)選擇 AP，這很容易導致大量的客戶 端僅僅因為某個 AP信號較強而連接到同一個 AP上。由于這些客戶端共享無線媒介，導致每個客戶端的網絡吞吐將大量減少。

智能負載分擔方法可以實時地分析無線客戶端的位置，動態(tài)地確定在當前時刻和當前位置下哪些 AP可以彼此分擔負載，通過控制 無線客戶端接入的 AP，來實現(xiàn)這些 AP 間的負載分擔。系統(tǒng)不僅支持按照用戶在線會話數(shù)的負載分擔，而且支持按照用戶流量負 載的分擔。

支持 7 層移動安全檢測/防御(wIDS/wIPS)

WX3000H-F 系列無線控制器支持的移動安全防御模式有：黑名單、白名單、Rogue 防御、畸形報文檢測、非法用戶下線、基于可 預設升級的 Signature MAC 層攻擊檢測與反制(例如：DoS 攻擊，F(xiàn)lood 攻擊、中間人攻擊)等。配合無線應用控制臺內置的海量 智能專家知識庫，可以獲得靈活的無線安全策略判斷依據(jù)，對于明確的非法攻擊源(AP或終端等)，實現(xiàn)可視的物理位置跟蹤監(jiān)控和 交換機物理端口移除。

通過配合 H3C專業(yè)核心層防火墻/IPS設備，更可以實現(xiàn)移動園區(qū)的 7層立體安全防御，滿足真正的從無線(802.11)到有線(802.3)

端到端安全防護需求。

支持802.1x 認證，MAC 地址認證，Portal認證等

WX3000H-F 系列無線控制器支持多種認證方式：

802.1x認證：WX3000H-F 系列無線控制器支持 TLS、PEAP、TTLS、MD5、SIM卡等多種 802.1x的認證方式，同時還支持 802.1x本地認證方式，提供對 MD5、TLS、PEAP這幾種主流認證方式的支持，用戶不再需要額外配置 AAA服務器。 WX3000H-F 系列無線控制器還支持通過 802.1x認證后動態(tài)授權 VLAN 和 ACL功能，對用戶的策略可以事先設定好，用戶 認證時，系統(tǒng)自動配置客戶權限。

MAC地址認證：WX3000H-F 系列無線控制器支持 MAC地址認證，對一些手持終端(例如：Wi-Fi Phone、手持移動終端等)并不方便采取電腦上的認證方式，MAC地址認證卻可以輕松解決該問題，實現(xiàn)在控制器或者 AAA服務器上配置好合法 的 MAC地址，這些 MAC地址對應的終端就可以被允許被接入到網絡，而事先沒有被配置的非法終端則不能接入無線網 絡，該功能極大地方便了例如無線醫(yī)療系統(tǒng)等應用，MAC地址認證可以確保只有醫(yī)院的 PDA工作終端才能接入到無線網 絡，而拒絕病人的無線 PDA使用專用無線網絡。

Portal 認證：WX3000H-F 系列無線控制器提供內置的 Portal 認證服務器。該認證方式無需客戶端配合，直接通過瀏覽器WEB Portal 頁面作為認證通道，當用戶認證通過后，可以靈活跳轉到指定訪問首頁并啟動相應授權和計費。同時也可以根 據(jù)策略要求，靈活推送定制 Portal 頁面，達到廣告宣傳、信息傳遞的作用，廣泛使用在無線校園、無線城市、訪客接入等應 用場景。

支持 IPv4/IPv6 雙協(xié)議棧(Native IPv6)

WX3000H-F 系列無線控制器支持無線客戶的IPV6 接入。在隧道起點 AP上，由于設備對 IPv6 感知，所以可以做到 IPv6 優(yōu)先級 到隧道優(yōu)先級映射等；在 AC側，同樣可以對 IPv6 報文進行 ACL過濾等復雜的控制和過濾。

WX3000H-F 系列無線控制器同樣可以部署在 IPv6 網絡中，AC和 AP之間自動協(xié)商成 IPv6 隧道。AC和 AP完全工作在 IPv6 狀態(tài)時，無線控制器仍能正確地感知 IPv4，并能處理無線客戶的 IPv4 報文。WX3000H-F 系列無線控制器 IPv4/6 靈活的適應能力，

能滿足客戶在 IPv4 到IPv6 網絡遷移中的各種復雜的應用，既能在 IPv6 孤島中給客戶提供 IPv4 的服務，同時也能在 IPv4 孤島中 讓用戶輕松通過 IPv6 協(xié)議登錄到網絡。

針對校園網層出不窮的 IPv6 偽造報文攻擊，WX3000H-F 系列無線控制器支持IPv6 SAVI(Source Address Validation，源地址有 效性驗證)技術。通過對地址分配協(xié)議的偵聽獲取用戶的 IP 地址，保證隨后的應用中能夠使用正確地址上網，且不可偽造他人 IP 地 址，保證了源地址的可靠性。同時，通過 IPv6 SAVI 和Portal技術的結合，進一步保證了所有上網用戶報文的真實性和安全性。

提供端到端的 QoS

WX3000H-F 系列無線控制器基于新一代 V7 系統(tǒng)開發(fā)，不但對 Diff-Serv 標準完善支持，同時增加了對 IPv6 協(xié)議的 QoS 支持。

QoS Diff-Serv 模型中主要包括流分類、流量監(jiān)管(Policing)、隊列管理、隊列調度(Scheduling)等，完整實現(xiàn)了標準中定義的 EF、 AF1～AF4、BE 等六組 PHB 及業(yè)務，使網絡運營商可為用戶提供具有不同服務質量等級的服務保證，使 Internet 真正成為同時承 載數(shù)據(jù)、語音和視頻業(yè)務的綜合網絡。

支持快速的二、三層漫游

H3C公司的集中式無線架構不但能方便地實施二層漫游，而且非常有利于跨三層的漫游實現(xiàn)，用 Fat AP 部署的 WLAN網絡，由 于 AP之間傳遞的信息有限，導致垮三層的漫游實現(xiàn)及其麻煩，集中式架構非常容易解決跨三層漫游的問題，WX3000H-F 系列無 線控制器支持二、三層漫游，漫游域不受子網的限制。這種優(yōu)秀的漫游特性，可以讓客戶在規(guī)劃無線網絡時，無需過多考慮現(xiàn)有網 絡的規(guī)劃，更多關注在無線信號的覆蓋即可，這種方式大大簡化了前期的網絡規(guī)劃，減少了網絡規(guī)劃成本。

傳統(tǒng)模式下，當無線用戶終端使用 802.1x作為 802.11接入認證和密鑰交互的手段時，無線用戶終端和 AP間的交互報文會非常的 多。當無線用戶終端在兩個 AP 間漫游時，如果無線用戶終端在新 AP 接入的過程完全遵從完整的 802.1x的交互過程，勢必造成 漫游切換的時間過長，對于某些對漫游切換時間敏感的業(yè)務(例如語音業(yè)務)，這樣的長切換時間是無法忍受的。WX3000H-F 系列 無線控制器采用 Key caching技術完成漫游時用戶的快速切換，Key caching 技術在用戶的安全接入和快速漫游間做了一個很好 的平衡，可以使無線用戶終端在兩個 AP 間進行漫游時不必重新進行完整的 802.1x認證交互過程，同時又能保證用戶身份的識別 和密鑰使用的連續(xù)性；無線用戶采用快速漫游方式，單 AC內漫游時間不超過 50ms，滿足了語音業(yè)務的苛刻需求。

支持多種分支機構遠程接入場景

當 AC和 AP通過廣域網鏈路進行連接時，用戶可以靈活選擇集中轉發(fā)或本地轉發(fā)模式，提升分支機構局域網打印訪問、終端互訪等業(yè)務性能。

當廣域網鏈路發(fā)生故障或 AC發(fā)生故障時，在線用戶不掉線，可以繼續(xù)訪問本地資源，并且可支持 AC逃生功能。

當分支機構 AP部署于私網內時，AC可以穿越 NAT與AP進行通信。