欢迎user
随着虚拟化与云计算技术的不断成熟,越来越多的云服务提供商和电信运营商开始提供公有云服务,允许企业按需租用资源和服务,创建企业自己的虚拟数据中心(VDC)或虚拟私有云(VPC),帮助企业节省建设成本、提高业务灵活性。因此,更多的企业开始将业务应用向公有云迁移。但是,现有绝大多数公有云是多租户共享环境,它的基础设施和资源是所有租户共同使用的,企业在公有云中无法部署自己的网络设备,从而给企业和云服务商带来很多网络方面的挑战和问题。
在传统网络领域,企业分支机构地域分散,部署网络设备和应用服务器,建设周期长、人力维护成本高,迫切需要精简分支基础设施,提高业务部署能力,节省投资和减少维护。随着应用向云端迁移及服务器和虚拟化技术的快速发展,在一台服务器上同时提供网络功能和IT应用已成为趋势。
为了顺应业界发展趋势及应对发展中面临的问题,H3C公司推出了全新的vAC虚拟无线控制器产品,它和H3C已发布的物理无线控制器一样,采用H3C全新一代Comware V7网络操作系统平台(以下简称V7系统),运行在标准服务器虚拟机或裸金属上,提供与物理无线控制器相同的功能体验,包括精细化用户控制管理、完善的射频资源管理、7*24小时无线安全管控、二三层快速漫游、灵活的QoS控制、IPv4&IPv6双栈、新一代无线定位、Bonjour、Hotspot2.0等无线软件特性。相比传统无线控制器,vAC虚拟无线控制器支持云计算管理、分层AC、星型IRF等多种灵活的组网方式。
H3C vAC虚拟无线控制器包含vAC1000和WX8700两款型号。配合H3C Fit AP产品系列,可以满足大型企业园区WLAN接入、无线城域网覆盖、热点覆盖等无线场景的典型应用。
vAC虚拟无线控制器采用H3C新一代V7系统开发,新的操作系统极大提升产品的性能和可靠性,能够满足企业市场上越来越复杂的网络应用,相比上一代操作系统,V7系统具有多方面的优势:
多核控制:在V7系统中可以根据需要调整CPU控制核和转发核的分配比例,可根据需求达到一个较佳平衡,能够充分提升CPU的控制计算及数据计算的能力,同时提供强大的并发计算能力;
支持用户态多任务:V7系统采用全新的软件运行权限控制方式,绝大多数网络业务都运行在用户态,不同网络业务占用不同的任务,每个任务占用独立的资源,某一任务运行错误只局限在本任务之内,不影响其他任务,使系统能够保持安全可靠地运行;
用户态任务监控:V7系统具有任务监控功能,系统专门监控用户态的各个任务的运行情况,如果用户态任务出异常情况,系统会重载该任务,使业务能够迅速恢复;
采用新的单独业务升级的方式:V7系统支持单独的业务升级,只升级单独的某个业务模块而不需更新整个软件,相对公司前一代操作系统,可大大减少重启升级的次数,保证升级的安全性,有效提供网络稳定性;
vAC提供超轻量级部署体验:
适合在公有云中部署,实现零运输、零布线,加快业务的部署;
支持VMware ESXi、Linux KVM、H3C CAS等主流虚拟化平台,充分发挥虚拟化的优势,实现快速部署、批量部署、镜像备份、快速恢复,并且能够灵活迁移。
提供ISO、OVA、IPE、QCOW2等多种发布格式,适应不同虚拟化平台部署;
支持虚拟机管理平台、网管平台和本地等多种工具进行灵活部署;
vAC提供超强业务弹性:
允许企业在虚拟化的环境中搭建企业网络,可以按需调配和管理网络资源及服务。比如,企业可以根据需要灵活调整网口数量和类型,而无需采购新硬件网卡;
通过动态调整虚拟机资源和License,即可实现软件功能的平滑升级、设备性能的按需提升,随时满足业务增长需求;
vAC可支持H3C最新开发的星型IRF模型,相比普通级联的IRF模型,星型模型采用二层网络(虚拟成一个中心点)连接多台设备,组网更灵活方便。星型IRF模型的核心思想是将多台设备以星型拓扑连接在一起,虚拟化成一台分布式设备,具有以下优势:
组网简单:星型IRF无须专用堆叠线和专门堆叠口,只需要通过交换机或者直接连线,二层相通即可建立堆叠;
能力叠加:星型IRF整体对外呈现一台虚拟AC,虚拟AC的管理AP和用户数量是多台AC能力的叠加;
配置简单:在虚拟AC上(主AC,即用户可见的一台AC)的配置,能自动同步到所有AC;
高可靠的备份:支持1+1热备份,即所有业务的备份,一台AC宕机不影响虚拟AC的功能;
vAC可以与H3C基于802.11ac协议的AP配合组网,从而提供相当于传统802.11a/b/g/n协议数倍的无线接入速率,能够覆盖更大的范围,使无线多媒体应用成为现实。
分层AC架构是H3C创新提出的针对市场上多级组网需求的全新组网模型,分层AC采用类似大型连锁企业机构集中控制分级管理的架构方式,由一个总的核心层管理AC下挂多个本地接入层AC,接入层AC直接下挂AP。接入层AC主要功能包括AP接入和数据转发等实时性业务,核心层AC主要做网络的管理控制和集中认证等非实时性全局业务,另外核心层AC也具有普通AC的接入AP及数据转发功能。核心层AC为高性能AC,布置在汇聚层;而接入层AC可以由标准AC、All-in-one AC(具备路由、DPI功能)或有线无线一体化交换机组成,跟现有网络平级布置;分层AC的这种架构模型将有线无线一体化理念推向新的高度,能够适用于大规模无线网络部署。分层AC模型天然支持总部和分支的应用场景,核心链路带宽和核心层AC转发能力不再成为瓶颈,核心层AC集中控制,接入层AC和下挂AP能够很方便的实现自动升级和配置同步,极大地简化了版本升级工作。在漫游场景,接入层AC负责AP间切换,漫游性能也得到极大提升。
vAC支持CUPID方式进行无线定位,因为准确度高,也称为丘比特定位系统。丘比特定位系统采用了类似于雷达探测的原理,AP主动给客户端发送探测报文,通过计算发送报文和响应报文的时间差来计算客户端的位置。
分类 | 分类描述 | CUPID | 指纹定位法 |
障碍物 | 移动的人群的身体遮挡 | 基本无影响。基于电磁波传输时间 | 有影响。信号强度衰减较大 |
多径环境 | 室内环境,信号经过反射、直射多种路径到达,RSSI的波动幅度大 | 无影响 | 有很大影响 |
工程量 | 现场勘查、信号特征调查等 | 较小 | 较大。需要人工采集指纹特征数据库 |
精度 | 同样部署密度情况下的定位准确度 | 可以到2米的精度 | 5米~15米,一般在10米 |
稳定性 | 定位引擎输出的坐标,在真实环境下受多种因素的干扰下的稳定性 | 基于直射路径的传输时间,输出较稳定 | 受障碍物、多径效应、部署密度、环境改变等因素,定位结果波动的较大 |
智能业务感知(Intelligent Application Aware)为有线和无线用户提供基于用户角色的应用层安全、QOS和转发策略。通过智能业务感知功能,可以指定网络访问权限,各种应用(如http, ftp等)能访问的网络范围以及允许的网络带宽。相比上一代产品,新一代智能业务感知业务加入对报文深度分析(DPI)功能,扩充应用的识别和统计功能。在上一代系统中,主要是基于以太网协议的四层端口号粗犷的识别,(比如80端口对应HTTP协议,20/21对应FTP,8000端口对应QQ等),用户可以通过设置代理之类的方式绕过访问限制,而在新一代系统中,直接基于以太网协议报文的七层特征,根据具体应用中报文的特征库进行识别,对于这样精准的识别,是可以进行完全的限制。通过报文深度解析功能不需要逐条设置禁止访问的网站(例如京东、淘宝、一号店等网站),而只需要设置禁止访问购物累网站即可,简化配置,提升效率。
传统的无线控制器部署一般采用集中式转发模式,AC可以对报文进行全面控制和安全监管,但所有的无线业务流量需要到AC进行统一处理,核心链路带宽和AC转发能力容易成为瓶颈。特别是AP和AC通过广域网方式进行连接时,AP作为数据接入设备部署在分支机构,而AC部署在总部,所有用户数据由AP发送到AC,再由AC进行集中转发,导致转发效率低下。vAC可以支持集中式转发、分布式转发、策略转发,用户根据业务需要和网络实际情况可以灵活设置转发方式。
vAC同时支持集中认证本地转发的组网方式,在数据流本地转发的情况下,提供802.1X和Portal的集中认证和管理。
基于用户的接入控制是vAC产品的一大特色,User Profile(用户配置文件)提供一个配置模板,能够保存预设配置(一系列配置的集合)。用户可以根据不同的应用场景为User Profile配置不同的内容,比如CAR(Committed Access Rate,承诺访问速率)策略和QoS(Quality of Service,服务质量)策略等。
用户访问设备时,需要先进行身份认证。在认证过程中,认证服务器会将User Profile名称下发给设备,设备会立即启用User Profile里配置的具体内容。当用户通过认证访问设备时,设备将通过这些具体内容限制用户的访问行为。当用户下线时,系统会自动禁用User Profile下的配置项,从而取消User Profile对用户的限定。因此,User Profile适用于限制上线用户的访问行为,没有用户上线(可能是没有用户接入、或者用户没有通过认证、或者用户下线)时,User Profile是预设配置,并不生效。
另外,vAC还支持基于MAC的认证接入控制方式,这种方式不但可以使得客户在AAA服务器上对用户组进行权限的配置和修改,同时支持对具体用户的权限的配置,这种精细的用户权限控制大大增强了无线网络的可用度,网管人员可以轻松通过该方式对不同级别的人或人群进行接入权限分配。
基于MAC的VLAN同样也是vAC的一大特色,在控制策略上,管理员可以把相同性质的用户(MAC)划分到同一个VLAN,同时在控制器上基于VLAN配置安全策略,这样做既可以简化系统配置,又可以做到用户级粒度的精细管理。
出于安全性或计费等考虑,系统管理员可能希望控制无线用户接入到网络中的位置。vAC支持基于AP位置的用户接入控制。当无线用户接入网络时,可以通过认证服务器向AC下发允许用户接入的AP列表,在AC上进行接入控制,从而达到限制无线用户只能接入到指定位置的AP的目的。
无线局域网中,信道是非常稀缺的资源,每个AP只能够工作在非常有限的非重叠信道上,比如对于2.4G网络,只有3个非重叠信道,所以如何智能地为AP分配信道是无线应用的关键。
无线局域网工作的频段存在大量可能的干扰源,如雷达、微波炉,它们在网络中的出现将干扰AP的正常工作。通过信道智能切换功能,可以保证每个AP能够分配到最优的信道,尽可能地减少和避免相邻信道干扰,而且通过实时信道干扰检测,可以让AP实时避开雷达,微波炉等干扰源。
802.11协议把无线漫游的决策交给了无线客户端,无线客户端一般会根据AP信号强度(RSSI)选择AP,这很容易导致大量的客户端仅仅因为某个AP信号较强而连接到同一个AP上。由于这些客户端共享无线媒介,导致每个客户端的网络吞吐将大量减少。
智能负载分担方法可以实时地分析无线客户端的位置,动态地确定在当前时刻和当前位置下哪些AP可以彼此分担负载,通过控制无线客户端接入的AP,来实现这些AP间的负载分担。系统不仅支持按照用户在线会话数的负载分担,而且支持按照用户流量负载的分担。
vAC支持的移动安全防御模式有:黑名单、白名单、Rogue防御、畸形报文检测、非法用户下线、基于可预设升级的Signature MAC层攻击检测与反制(例如:DoS攻击,Flood攻击、中间人攻击)等。配合无线应用控制台内置的海量智能专家知识库,可以获得灵活的无线安全策略判断依据,对于明确的非法攻击源(AP或终端等),实现可视的物理位置跟踪监控和交换机物理端口移除。
通过配合H3C专业核心层防火墙/IPS设备,更可以实现移动园区的7层立体安全防御,满足真正的从无线(802.11)到有线(802.3)端到端安全防护需求。
vAC支持多种认证方式:
802.1x认证:vAC支持TLS、PEAP、TTLS、MD5、SIM卡等多种802.1x的认证方式,同时还支持802.1x本地认证方式,提供对MD5、TLS、PEAP这几种主流认证方式的支持,用户不再需要额外配置AAA服务器。vAC还支持通过802.1x认证后动态授权VLAN和ACL功能,对用户的策略可以事先设定好,用户认证时,系统自动配置客户权限。
MAC地址认证:vAC支持MAC地址认证,对一些手持终端(例如:Wi-Fi Phone、手持移动终端等)并不方便采取电脑上的认证方式,MAC地址认证却可以轻松解决该问题,实现在控制器或者AAA服务器上配置好合法的MAC地址,这些MAC地址对应的终端就可以被允许被接入到网络,而事先没有被配置的非法终端则不能接入无线网络,该功能极大地方便了例如无线医疗系统等应用,MAC地址认证可以确保只有医院的PDA工作终端才能接入到无线网络,而拒绝病人的无线PDA使用专用无线网络。
Portal认证:vAC提供内置的Portal认证服务器。该认证方式无需客户端配合,直接通过浏览器WEB Portal页面作为认证通道,当用户认证通过后,可以灵活跳转到指定访问首页并启动相应授权和计费。同时也可以根据策略要求,灵活推送定制Portal页面,达到广告宣传、信息传递的作用,广泛使用在无线校园、无线城市、访客接入等应用场景。
vAC支持无线客户的IPV6接入。在隧道起点AP上,由于设备对IPv6感知,所以可以做到IPv6优先级到隧道优先级映射等;在AC侧,同样可以对IPv6报文进行ACL过滤等复杂的控制和过滤。
vAC同样可以部署在IPv6网络中,AC和AP之间自动协商成IPv6隧道。AC和AP完全工作在IPv6状态时,无线控制器仍能正确地感知IPv4,并能处理无线客户的IPv4报文。vACIPv4/6灵活的适应能力,能满足客户在IPv4到IPv6网络迁移中的各种复杂的应用,既能在IPv6孤岛中给客户提供IPv4的服务,同时也能在IPv4孤岛中让用户轻松通过IPv6协议登录到网络。
针对校园网层出不穷的IPv6伪造报文攻击,vAC支持IPv6 SAVI(Source Address Validation,源地址有效性验证)技术。通过对地址分配协议的侦听获取用户的IP地址,保证随后的应用中能够使用正确地址上网,且不可伪造他人IP地址,保证了源地址的可靠性。同时,通过IPv6 SAVI和Portal技术的结合,进一步保证了所有上网用户报文的真实性和安全性。
vAC基于新一代V7系统开发,不但对Diff-Serv标准完善支持,同时增加了对IPv6协议的QoS支持。
QoS Diff-Serv 模型中主要包括流分类、流量监管(Policing)、队列管理、队列调度(Scheduling)等,完整实现了标准中定义的EF、AF1~AF4、BE等六组PHB及业务,使网络运营商可为用户提供具有不同服务质量等级的服务保证,使Internet真正成为同时承载数据、语音和视频业务的综合网络。
H3C公司的集中式无线架构不但能方便地实施二层漫游,而且非常有利于跨三层的漫游实现,用Fit AP部署的WLAN网络,由于AP之间传递的信息有限,导致跨三层的漫游实现极其麻烦,集中式架构非常容易解决跨三层漫游的问题,vAC支持二、三层漫游,漫游域不受子网的限制。这种优秀的漫游特性,可以让客户在规划无线网络时,无需过多考虑现有网络的规划,更多关注在无线信号的覆盖即可,这种方式大大简化了前期的网络规划,减少了网络规划成本。
传统模式下,当无线用户终端使用802.1x作为802.11接入认证和密钥交互的手段时,无线用户终端和AP间的交互报文会非常的多。当无线用户终端在两个AP间漫游时,如果无线用户终端在新AP接入的过程完全遵从完整的802.1x的交互过程,势必造成漫游切换的时间过长,对于某些对漫游切换时间敏感的业务(例如语音业务),这样的长切换时间是无法忍受的。vAC采用Key caching技术完成漫游时用户的快速切换,Key caching技术在用户的安全接入和快速漫游间做了一个很好的平衡,可以使无线用户终端在两个AP间进行漫游时不必重新进行完整的802.1x认证交互过程,同时又能保证用户身份的识别和密钥使用的连续性;无线用户采用快速漫游方式,单AC内漫游时间不超过50ms,满足了语音业务的苛刻需求。
当AC和AP通过广域网链路进行连接时,用户可以灵活选择集中转发或本地转发模式,提升分支机构局域网打印访问、终端互访等业务性能;
当广域网链路发生故障或AC发生故障时,在线用户不掉线,可以继续访问本地资源,并且可支持AC逃生功能;
当分支机构AP部署于私网内时,AC可以穿越NAT与AP进行通信;
大类 | 特性 | 描述 |
802.11 MAC | 802.11协议簇 | 802.11a/802.11b/802.11e(WMM) 802.11g/802.11i 802.11n/802.11w/802.11ac/802.11h/802.11k/802.11u/802.11r |
接入 | 802.11g保护 | |
限制SSID下的用户数 | ||
限制Radio下的用户数 | ||
用户在线检测(Keepalive) | ||
支持集中转发 | ||
支持本地转发(基于VLAN+SSID) | ||
支持VLAN组 | ||
AP管理 | AP发现和预配置 | 自动注册AP根据序列号进行认证 |
支持PNP AP(即插即用) | ||
AC发现(DNS方式) | ||
AC发现(DHCP option 138和option43方式) | ||
隧道 | 支持CAPWAP隧道 | |
兼容LWAPP隧道(只支持V5 AP通过LWAPP升级,不支持完整的LWAPP功能) | ||
NAT 穿越 | ||
IPv6隧道 | ||
AP组 | 支持AP组对批量AP的配置管理 | |
漫游 | 漫游 | 支持AC内二层漫游 |
支持AC内三层漫游 | ||
支持AC间二层漫游 | ||
支持AC间三层漫游 | ||
安全与接入控制 | 无线加密 | 共享密钥 |
WEP-40/WEP-104/WEP-128 | ||
TKIP | ||
CCMP | ||
认证协议 | Open system | |
Shared-Key | ||
PSK | ||
802.1X | ||
MAC认证 | ||
支持Portal认证(包括无感知认证,本地转发Portal认证) | ||
EAP类型 | EAP-TLS/ EAP-TTLS/ EAP-PEAP/ EAP-MD5/ EAP-GTC/ EAP-FAST/ EAP-SIM/ EAP-AKA | |
AAA | RADIUS | |
LDAP | ||
基于域选择AAA服务器 | ||
基于SSID选择AAA服务器 | ||
AAA服务器备份 | ||
基于时长的计费 | ||
基于用户的接入控制 | 支持基于用户的接入控制 | |
支持基于用户的QACL | ||
支持基于用户的带宽限制 | ||
支持将用户与SSID绑定 | ||
支持将用户与VLAN、ACL和user profile绑定 | ||
支持基于AP位置的接入控制 | ||
支持访客接入控制 | ||
其它 | 支持基于SSID的用户隔离 | |
支持基于VLAN的用户隔离 | ||
支持ARP防攻击 | ||
支持本地AAA服务器(本地认证,本地Portal) | ||
QoS | QoS | 支持优先级映射 |
支持2-4层流识别 | ||
支持流限速 | ||
支持队列管理 | ||
无线频谱管理 | RRM | 支持选择国家码 |
支持20M/40M切换 | ||
支持802.11n保护 | ||
支持静态信道设置 | ||
支持绿色节能(定时关闭射频或SSID) | ||
支持自动信道选择 | ||
支持动态功率调整 | ||
负载均衡 | 基于用户数的负载均衡 | |
基于流量的负载均衡 | ||
基于带宽的负载均衡 | ||
智能负载均衡 | ||
自动发现AP均衡组 | ||
灵活设定AP均衡组 | ||
WIPS | 基础特性 | 支持虚拟安全域 |
设备分类 | 支持设备自动分类 | |
支持手工设备分类 | ||
入侵检测 | 检测Ad hoc网络 | |
检测AP 泛洪攻击 | ||
检测Rogue AP | ||
检测Bad WEP | ||
检测客户端泛洪攻击 | ||
检测假冒AP | ||
检测假冒客户端 | ||
检测CTS/RTS异常速率 | ||
检测无效MAC (基于OUI) | ||
检测畸形帧 | ||
入侵保护 | 围堵非法AP | |
保护有效客户端 | ||
管理设备数量 | 无限制,只跟设备当前运行的内存有关 | |
二层协议 | 二层协议 | ARP |
802.1p | ||
802.1q | ||
802.1X | ||
LACP/链路聚合(二层聚合,限WX8700) | ||
无线二层转发 | ||
Port-based VLAN | ||
SSID-based VLAN | ||
User-based VLAN | ||
IP协议 | IPv4 | TCP/UDPV4 |
ICMPv4 | ||
NTP | ||
ACL | ||
支持DHCP服务器 | ||
支持DHCP Relay | ||
支持DHCP Snooping | ||
IPv6 | ACL6 | |
DNS6 | ||
Tracert6 | ||
Telnet6 | ||
FTP IPv6 | ||
TFTP IPv6 | ||
DHCPv6 Server | ||
DHCPv6 Relay | ||
Ping6 | ||
路由协议 | 路由 | 静态路由 |
高可用性 | 高可靠性 | 无线 IRF |
业务备份IRF | ||
管理 | 管理 | 支持密码控制(Password Control) |
SNMP v1/v2/v3 | ||
HTTP, HTTPS | ||
CLI/Telnet/SSH v2.0 | ||
NETCONF |
本方案可以应用于企业网商贸连锁机构的场景。如0所示:
如上图所示,vAC位于网络的核心层,部署在数据中心机房,负责管理企业接入AP。具体部署如下:
vAC部署在中心机房,而AP直接部署在门店,接入门店的有线网络中,通过Internet跟AC关联;
无线STA通过AP接入无线网络,如果开启认证,STA把认证的报文发送到AC,由AC再转给AAA服务器进行认证;
采用本地802.1X认证对员工认证,利用本地Portal认证对访客进行认证,利用MAC认证对打印机等设备进行认证。
STA接入无线网络后,数据不送往AC,而是在有线网络的本地网关进行转发。
多层AC方案由一个管理AC和多个Local AC组成,相比单层AC方案,该方案可以在更大型的网络中使用,其中使用的MAC、LAC位于网络的核心层。具体部署如下:
MAC部署在中心机房,关联LAC和汇聚LAC下辖设备的管理信息;
LAC也部署在分散的中心机房,通过vSwitch跟其他LAC和MC之间相连,并且通过Internet跟AP相连;
而AP直接部署在门店,接入门店的有线网络中,通过Internet跟LAC关联;
无线STA通过AP接入无线网络;
如果开启认证,MC则是接入认证的集中点,STA把认证的报文发送到LAC,由LAC转给MC,MC再转给AAA服务器进行认证;
采用本地802.1X认证对员工认证,利用本地Portal认证对访客进行认证,利用MAC认证对打印机等设备进行认证。
STA接入无线网络后,数据不送往LAC,而是在有线网络的本地网关进行转发。
多层AC方案示意图
IRF方案,由2台vAC通过vSwitch星形连接成IRF堆叠,虚拟成一台AC,在接入的AP容量和容错方面跟连接的vAC的数量成正比。除了IRF的配置外,在组网使用上,跟单层AC方案相同,一般也推荐使用本地转发集中认证。如0所示:
IRF方案示意图
项目 | 描述 |
LIS-vAC1000-A8-Y1 | H3C vAC1000授权函(Comware V7,8AP,1年授权) |
LIS-vAC1000-A8-Y3 | H3C vAC1000授权函(Comware V7,8AP,3年授权) |
LIS-vAC1000-A8 | H3C vAC1000授权函(Comware V7,8AP,永久授权) |
LIS-vAC1000-A32-Y1 | H3C vAC1000授权函(Comware V7,32AP,1年授权) |
LIS-vAC1000-A32-Y3 | H3C vAC1000授权函(Comware V7,32AP,3年授权) |
LIS-vAC1000-A32 | H3C vAC1000授权函(Comware V7,32AP,永久授权) |
LIS-vAC1000-A128-Y1 | H3C vAC1000授权函(Comware V7,128AP,1年授权) |
LIS-vAC1000-A128-Y3 | H3C vAC1000授权函(Comware V7,128AP,3年授权) |
LIS-vAC1000-A128 | H3C vAC1000授权函(Comware V7,128AP,永久授权) |