支持L2(Layer 2)~L4(Layer 4)包过滤功能,提供基于源MAC地址、目的MAC地址、源IP(IPv4/IPv6)地址、目的IP(IPv4/IPv6)地址、端口、协议、VLAN的流分类 支持时间段(Time Range)的包过滤 支持大容量双向ACL 支持对端口接收报文的速率和发送报文的速率进行限制 QoS/ACL 支持报文重定向 每个端口支持8个输出队列 支持灵活的队列调度算法,可以同时基于端口和队列进行设置,支持SP、WDRR、WFQ、SP+WDRR四种模式 支持报文的802.1p和DSCP优先级重新标记 支持WRED拥塞避免机制 支持N:1的端口镜像和流镜像 支持多个镜像观察口 支持端口的远程镜像(RSPAN) 支持增强型端口的远程镜像(ERSPAN) 镜像 21
支持用户分级管理和口令保护 支持AAA认证、RADIUS认证 支持MAC地址认证、802.1x认证、portal认证 支持HWTACACS 支持SSH 2.0 支持IP+MAC+端口绑 定 安全特性 支持IP Source Guard 支持HTTPs、SSL 支持PKI(Public Key Infrastructure,公钥基础设施) 支持EAD 支持ARP Detection功能(能够根据DHCP Snooping安全表项、802.1x表项,或IP/MAC静态绑定表项进行检查) 可支持DHCP Snooping,防止欺骗的DHCP服务器 支持BPDU guard, Root guard 支持OSPF、RIPv2报文的明文及MD5密文认证。 防火墙卡 OAA IPS卡 无线控制业务板 流量管理 加载与升级 支持NetStream(仅S5800系列支持) 支持XModem协议、FTP、TFTP实现加载升级 22
支持命令行接口(CLI)、Telnet、Console口进行配置 支持SNMPv1/v2/v3 支持RMON (Remote Monitoring)告警、事件、历史记录 支持Imc网管系统、支持WEB网管 支持系统日志、分级告警 支持集群管理HGMPv2 支持电源的告警功能 支持风扇、温度告警 支持Ping、Tracert、NQA、Track 支持虚拟电缆检测(Virtual Cable Test)、DLDP 支持802.1ag、支持802.3ah 支持USB进行文件上传和下载 管理 维护
5.2.4 S5800大容量多业务无线控制概述:
H3C WX5000系列无线产品是杭州华三通信技术有限公司(以下简称H3C公司)自主研发的系列多业务无线控制器(AC,Access Controller)。H3C WX5000系列多业务无线控制器具有容量适中、高可靠性、业务类型丰富等特点,提供了丰富的有线数据和无线数据的处理功能。H3C WX5000系列多业务无线控制器集精细的用户控制管理、完善的RF管理及安全机制、快速漫游、超强的QoS及IPv4&IPv6等多功能于一体,提供强大的WLAN接入控制功能。H3C WX5000系列多业务无线控制器定位在企业网,城域网WLAN接入,是大中型企业园区WLAN接入、无线城域网覆盖、热点覆盖等应用环境的最理想的接入控制器。
23
H3C WX5000系列多业务无线控制器包括H3C WX5002(-64)、WX5004无线控制器和LSWM1WCM10、LSWM1WCM20无线控制业务板,是H3C公司自主研发的无线控制器,配合H3C公司自主研发的Fit AP,可以方便的部署于任何现有的二层网络或三层网络之中,控制器和AP通过IETF制定的CAPWAP协议进行互联而无需针对现在有网络进行重新配置。
LSWM1WCM10为H3C S5800系列交换机大容量无线控制业务板卡,基础规格支持64个AP,通过license32升级(最多支持6个license32),最多可以支持256个AP,4K个无线用户,可以满足大型无线网络的部署需求。
H3C公司使用创新的基于认证的组网来提供网络服务,这种方法基于用户身份而非端口或设备,以便跨越整个网络实现移动性和安全性。当用户漫游网络时,通过WLAN网络范围内的无线控制器的信息交换,以实现在整个网络范围内执行一致的访问和安全策略。同时采用WPA/WPA2和802.1X认证结合的AES、TKIP以及WEP加密等功能增强了网络安全。
图1 S5800大容量多业务无线控制业务板设备外观图
5.2.5 S5800大容量多业务无线控制特点:
? 提供对802.11n AP的管理
H3C WX5000系列多业务无线控制器在支持对传统802.11a/b/g AP管理的同时,还可以与H3C基于802.11n协议的WA2600系列AP配合组网,从而提供相当于传统802.11a/b/g网络6倍以上的无线接入速率,能够覆盖更大的范围,使无线多媒体应用成为现实。
24
? 提供灵活的数据转发方式
支持集中式转发和分布式转发。单一的集中式转发,AC虽然能对报文进行全面控制,但所有的无线业务流都要到AC进行统一处理,使得AC的转发能力很容易成为瓶颈。特别是当通过广域网方式转发时,AP作为数据接入设备部署在分支机构,而无线控制器部署在总部,所有用户数据由AP发送到无线控制器,再由无线控制器进行集中转发,导致转发效率低下。
WX5000系列多业务无线控制器支持两种转发方式,用户可以根据需要给SSID设置转发的类型。
? 运营级的无线用户接入控制和管理
基于用户的接入控制是H3C WX5000系列多业务无线控制器产品的一大特色,User Profile(用户配置文件)提供一个配置模板,能够保存预设配置(一系列配置的集合)。用户可以根据不同的应用场景为User Profile配置不同的内容,比如CAR(Committed Access Rate,承诺访问速率)策略和QoS(Quality of Service,服务质量)策略等。
用户访问设备时,需要先进行身份认证。在认证过程中,认证服务器会将User Profile名称下发给设备,设备会立即启用User Profile里配置的具体内容。当用户通过认证访问设备时,设备将通过这些具体内容限制用户的访问行为。当用户下线时,系统会自动禁用User Profile下的配置项,从而取消User Profile对用户的限定。因此,User Profile适用于限制上线用户的访问行为,没有用户上线(可能是没有用户接入、或者用户没有通过认证、或者用户下线)时,User Profile是预设配置,并不生效。
另外,H3C WX5000系列多业务无线控制器还支持基于MAC的认证接入控制方式,这种方式不但可以使得客户在AAA服务器上对用户组进行权限的配置和修改,同时支持对具体用户的权限的配置,这种精细的用户权限控制大大增强了无线网络的可用度,网管人员可以轻松通过该方式对不同级别的人或人群进行接入权限分配。
25