H3C MSG360-10-LTE新一代企业级

集合网关+安全+无线控制器于一体

MSG360-10-LTE多业务网关定位于中小企业、商业连锁、分支机构的企业级网关，集成了网关、安全和AC等功能。MSG360-10-LTE多业务网关提供多WAN口，支持PPPoE、NAT网关设定等功能。

MSG360-10-LTE多业务网关，支持对小贝系列Fit AP的管理，实现下发配置、修改相关配置参数、射频智能管理、接入安全控制等集中管理功能。同时也支持与小贝云简网络终结者AP配合组网，通过MSG360-10-LTE对云简网络终结者AP进行轻量化管理，实现AP无线服务、射频等功能的配置，并对AP进行版本管理。

灵活可靠的出口上行

MSG360-10-LTE无线控制器支持有线链路或3G/LTE链路上行，即使在无法安装有线出口的情况下，使用SIM卡即可上网，支持FDD-LTE/TDD-LTE/TD-SCDMA/EDGE/GPRS/GSM多种网络制式，上下行速率可达100Mbps，同时支持有线链路和LTE链路互为备份、双SIM卡互为备份、WAN口/LAN口随意切换。

提供对802.11ax AP的管理

MSG360-10-LTE无线控制器在支持对传统802.11a/b/g/n/ac AP管理的同时，还可以与H3C基于802.11ax协议的AP配合组网，从而突破传统无线网络串行通信的机制，促使无线频谱资源利用率成倍提升，有效接入用户数得到了极大的提高，有效减少无线网络的部署开销，极大提升了高密度用户环境下的用户体验。

基于全新的操作系统

MSG360-10-LTE无线控制器采用H3C新一代V7系统开发，新的操作系统极大提升产品的性能和可靠性，能够满足企业市场上越来越复杂的网络应用，相比上一代操作系统，V7系统具有多方面的优势：

多核控制：在V7系统中可以根据需要调整CPU控制核和转发核的分配比例，可根据需求达到一个较佳平衡，能够充分提升CPU的控制计算及数据计算的能力，同时提供强大的并发计算能力。

支持用户态多任务：V7系统采用全新的软件运行权限控制方式，绝大多数网络业务都运行在用户态，不同网络业务占用不同的任务，每个任务占用独立的资源，某一任务运行错误只局限在本任务之内，不影响其他任务，使系统能够保持安全可靠地运行。

用户态任务监控：V7系统具有任务监控功能，系统专门监控用户态的各个任务的运行情况，如果用户态任务出现异常情况，系统会重载该任务，使业务能够迅速恢复。

采用新的单独业务升级的方式：V7系统支持单独的业务升级，只升级单独的某个业务模块而不需更新整个软件，相对公司前一代操作系统，可大大减少重启升级的次数，保证升级的安全性，有效提供网络稳定性。

提供灵活的数据转发方式

传统的无线控制器部署一般采用集中式转发模式，AC可以对报文进行全面控制和安全监管，但所有的无线业务流量需要到AC进行统一处理，核心链路带宽和AC转发能力容易成为瓶颈。特别是AP和AC通过广域网方式进行连接时，AP作为数据接入设备部署在分支机构，而AC部署在总部，所有用户数据由AP发送到AC，再由AC进行集中转发，导致转发效率低下。MSG360-10-LTE无线控制器可以支持集中式转发、分布式转发、策略转发，用户根据业务需要和网络实际情况可以灵活设置转发方式。

MSG360-10-LTE无线控制器同时支持集中认证本地转发的组网方式，在数据流本地转发的情况下，也能够提供802.1X和Portal的集中认证和管理。

支持运营级无线用户接入控制和管理

基于用户的接入控制是MSG360-10-LTE无线控制器产品的一大特色，User Profile(用户配置文件)提供一个配置模板，能够保存预设配置(一系列配置的集合)。用户可以根据不同的应用场景为User Profile配置不同的内容，比如CAR(Committed Access Rate，承诺访问速率)策略和QoS(Quality of Service，服务质量)策略等。

用户访问设备时，需要先进行身份认证。在认证过程中，认证服务器会将User Profile名称下发给设备，设备会立即启用User Profile里配置的具体内容。当用户通过认证访问设备时，设备将通过这些具体内容限制用户的访问行为。当用户下线时，系统会自动禁用User Profile下的配置项，从而取消User Profile对用户的限定。因此，User Profile适用于限制上线用户的访问行为，没有用户上线(可能是没有用户接入、或者用户没有通过认证、或者用户下线)时，User Profile是预设配置，并不生效。

另外，MSG360-10-LTE无线控制器还支持基于MAC的认证接入控制方式，这种方式不但可以使得客户在AAA服务器上对用户组进行权限的配置和修改，同时支持对具体用户的权限的配置，这种精细的用户权限控制大大增强了无线网络的可用度，网管人员可以轻松通过该方式对不同级别的人或人群进行接入权限分配。

基于MAC的VLAN同样也是MSG360-10-LTE无线控制器的一大特色，在控制策略上，管理员可以把相同性质的用户(MAC)划分到同一个VLAN，同时在控制器上基于VLAN配置安全策略，这样做既可以简化系统配置，又可以做到用户级粒度的精细管理。

出于安全性或计费等考虑，系统管理员可能希望控制无线用户接入到网络中的位置。MSG360-10-LTE无线控制器支持基于AP位置的用户接入控制。当无线用户接入网络时，可以通过认证服务器向AC下发允许用户接入的AP列表，在AC上进行接入控制，从而达到限制无线用户只能接入到指定位置的AP的目的。

提供可靠的网关功能

MSG360-10-LTE定位于中小企业、分支机构场景，集成无线控制器、网关、LTE模块，支持PPPOE、NAT、VPN、动态IP地址、静态IP地址设定等功能。

支持Bonjour Gateway

MSG360-10-LTE无线控制器支持Bonjour Gateway功能，使小型企业内部可以很方便的使用Apple 设备，如打印机、电视机和平板电脑。

支持信道智能切换

无线局域网中，信道是非常稀缺的资源，每个AP只能够工作在非常有限的非重叠信道上，比如对于2.LTE网络，只有３个非重叠信道，所以如何智能地为AP分配信道是无线应用的关键。

无线局域网工作的频段存在大量可能的干扰源，如雷达、微波炉，它们在网络中的出现将干扰AP的正常工作。通过信道智能切换功能，可以保证每个AP能够分配到更优的信道，尽可能地减少和避免相邻信道干扰，而且通过实时信道干扰检测，可以让AP实时避开雷达，微波炉等干扰源。

支持7层移动安全检测/防御(wIDS/wIPS)

MSG360-10-LTE无线控制器支持的移动安全防御模式有：黑名单、白名单、Rogue防御、畸形报文检测、非法用户下线、基于可预设升级的Signature MAC层攻击检测与反制(例如：DoS攻击，Flood攻击、中间人攻击)等。配合无线应用控制台内置的海量智能专家知识库，可以获得灵活的无线安全策略判断依据，对于明确的非法攻击源(AP或终端等)，实现可视的物理位置跟踪监控和交换机物理端口移除。

通过配合H3C专业核心层防火墙/IPS设备，更可以实现移动园区的7层立体安全防御，满足真正的从无线(802.11)到有线(802.3)端到端安全防护需求。

支持RealTime Spectrum Guard(实时频谱保护)模式

RealTime Spectrum Guard(RTSG)是H3C创新提出的针对无线环境频谱状态的专业监控方案。全系列无线控制器可以和内置射频采集模块的Sensor AP，实现深度融合的射频监控和实时频谱防护。

RTSG的控制台融合部署于H3C iMC智能管理中心，通过CAPWAP管理隧道，与Sensor AP进行通信和数据采集，实现7X24小时的无线环境质量监控、无线网络能力趋势评估以及非许可干扰告警。通过图形化方式，主动探测和识别所有2.LTEHz/5GHz波段的射频干扰源(Wi-Fi或非Wi-Fi)，可提供实时FFT图，频谱密度图、光谱图、占空比图、事件光谱图、频道功率、干扰功率等；可自动识别干扰源，确定有问题的无线设备的位置，确保无线网络发挥较佳的性能。结合H3C iAR智能报表组件，可实现全覆盖区内的射频质量历史记录的存储、追溯、回放等，自动生成客户化的趋势、合规和审计报告。

针对用户无线环境监管的不同层次需求，RTSG方案的部署可以灵活采用Local mode或Monitor Mode。当工作在Local Mode时，可以在获得有效的频谱防护前提下，保持正常的用户接入和数据包转发。

支持智能无线业务感知(wIAA)

MSG360-10-LTE无线控制器支持智能感知无线业务流量，实现基于无线用户状态的弹性策略识别与管理，优化语音及视频业务承载。

内置射频优化引擎(ROE)

MSG360-10-LTE无线控制器内置针对AP的射频优化引擎(RF Optimizing Engine)，通过基于特征和协议的射频优化，有效提升无线部署中高密度接入、流媒体传输等场景中的应用加速能力和质量保障效果。其中包含：多用户公平调度、混合接入公平、过滤干扰、速率更优、频谱导航、组播增强(IPv4/IPv6)、逐包功率控制和智能带宽保障等。

支持802.1x认证，MAC地址认证，Portal认证等

MSG360-10-LTE无线控制器支持多种认证方式：

802.1x认证：MSG360-10-LTE无线控制器支持TLS、PEAP、TTLS、MD5、SIM卡等多种802.1x的认证方式，同时还支持802.1x本地认证方式，提供对MD5、TLS、PEAP这几种主流认证方式的支持，用户不再需要额外配置AAA服务器。MSG360-10-LTE无线控制器还支持通过802.1x认证后动态授权VLAN和ACL功能，对用户的策略可以事先设定好，用户认证时，系统自动配置客户权限。

MAC地址认证：MSG360-10-LTE无线控制器支持MAC地址认证，对一些手持终端(例如：Wi-Fi Phone、手持移动终端等)并不方便采取电脑上的认证方式，MAC地址认证却可以轻松解决该问题，实现在控制器或者AAA服务器上配置好合法的MAC地址，这些MAC地址对应的终端就可以被允许被接入到网络，而事先没有被配置的非法终端则不能接入无线网络，该功能极大地方便了例如无线医疗系统等应用，MAC地址认证可以确保只有医院的PDA工作终端才能接入到无线网络，而拒绝病人的无线PDA使用专用无线网络。

Portal认证：MSG360-10-LTE无线控制器提供内置的Portal认证服务器。该认证方式无需客户端配合，直接通过浏览器WEB Portal页面作为认证通道，当用户认证通过后，可以灵活跳转到指定访问首页并启动相应授权和计费。同时也可以根据策略要求，灵活推送定制Portal页面，达到广告宣传、信息传递的作用，广泛使用在无线校园、无线城市、访客接入等应用场景。

支持IPv4/IPv6双协议栈(Native IPv6)

MSG360-10-LTE无线控制器支持无线客户的IPV6接入。在隧道起点AP上，由于设备对IPv6感知，所以可以做到IPv6优先级到隧道优先级映射等；在AC侧，同样可以对IPv6报文进行ACL过滤等复杂的控制和过滤。

MSG360-10-LTE无线控制器同样可以部署在IPv6网络中，AC和AP之间自动协商成IPv6隧道。AC和AP完全工作在IPv6状态时，无线控制器仍能正确地感知IPv4，并能处理无线客户的IPv4报文。MSG360-10-LTE无线控制器IPv4/6灵活的适应能力，能满足客户在IPv4到IPv6网络迁移中的各种复杂的应用，既能在IPv6孤岛中给客户提供IPv4的服务，同时也能在IPv4孤岛中让用户轻松通过IPv6协议登录到网络。

针对校园网层出不穷的IPv6伪造报文攻击，MSG360-10-LTE无线控制器支持IPv6 SAVI(Source Address Validation，源地址有效性验证)技术。通过对地址分配协议的侦听获取用户的IP地址，保证随后的应用中能够使用正确地址上网，且不可伪造他人IP地址，保证了源地址的可靠性。同时，通过IPv6 SAVI和Portal技术的结合，进一步保证了所有上网用户报文的真实性和安全性。

提供端到端的QoS

MSG360-10-LTE无线控制器基于Comware平台开发，不但对Diff-Serv标准完善支持，同时增加了对IPv6协议的QoS支持。

QoS Diff-Serv 模型中主要包括流分类、流量监管(Policing)、队列管理、队列调度(Scheduling)等，完整实现了标准中定义的EF、AF1～AF4、BE等六组PHB及业务，使网络运营商可为用户提供具有不同服务质量等级的服务保证，使Internet真正成为同时承载数据、语音和视频业务的综合网络。

支持快速的二、三层漫游

H3C公司的集中式无线架构不但能方便地实施二层漫游，而且非常有利于跨三层的漫游实现，用Fat AP部署的WLAN网络，由于AP之间传递的信息有限，导致垮三层的漫游实现及其麻烦，集中式架构非常容易解决跨三层漫游的问题，MSG360-10-LTE无线控制器支持二、三层漫游，漫游域不受子网的限制。这种优秀的漫游特性，可以让客户在规划无线网络时，无需过多考虑现有网络的规划，更多关注在无线信号的覆盖即可，这种方式大大简化了前期的网络规划，减少了网络规划成本。

传统模式下，当无线用户终端使用802.1x作为802.11接入认证和密钥交互的手段时，无线用户终端和AP间的交互报文会非常的多。当无线用户终端在两个AP间漫游时，如果无线用户终端在新AP接入的过程完全遵从完整的802.1x的交互过程，势必造成漫游切换的时间过长，对于某些对漫游切换时间敏感的业务(例如语音业务)，这样的长切换时间是无法忍受的。MSG360-10-LTE无线控制器采用Key caching技术完成漫游时用户的快速切换，Key caching技术在用户的安全接入和快速漫游间做了一个很好的平衡，可以使无线用户终端在两个AP间进行漫游时不必重新进行完整的802.1x认证交互过程，同时又能保证用户身份的识别和密钥使用的连续性；无线用户采用快速漫游方式，单AC内漫游时间不超过50ms，满足了语音业务的苛刻需求。

支持Cloudnet云简网络解决方案

H3C Cloudnet是为企业数字化转型打造的新一代网络解决方案，基于Cloudnet强大的能力为客户提供极简的网络部署，较佳的网络体验与极强的增值服务。支持包括统一管理、配置管理、版本更新、无线配置、加密/安全、用户限制、认证、域名访问限制等多种功能。同时针对不同场景可以提供多种应用和服务，其中针对中小企业场景可以实现设备远程运维，网络部署和更多的应用管理等功能。针对商业场景可以提供短信认证等多种认证方式，精准营销以及客流分析等服务。

设备自动纳管

云简网络方案基于场所对用户网络进行管理，用户只需创建场所，现场使用手机APP即可快速简单地上线网关，实现现场零配置，连接网络设备即可自动完成网络部署。

设备即插即用

场所设备即插即用：用户可以离线一次创建多个场所，同时生成多场所的自动纳管配置。设备上线，云管理平台会自动分发场所配置。实现一次配置，多场所设备即插即用。

设备连接即插即用：云简网络方案无需提前规定设备的款型，对于设备布放无强制位置和设备连接端口限制，设备间可使用任意空闲端口连接，按需连线，即插即用，不受设备款型和端口规划约束。

替换设备即插即用：云简网络方案可使用异型设备直接替换，即插即用。且不用进行替换操作，用户只需要拔下故障设备，插上新的设备（可与故障设备不是同一型号）即可。（目前异型设备替换功能，只支持使用缺省业务网络的场景。）

提供Cloudnet APP管理

MSG360-10-LTE多业务网关除了可以使用WEB方式管理外，还提供Cloudnet APP的管理方式，通过Cloudnet APP可以直观查看网络实时状态和设备统计信息，可以随时对网络进行体检，了解网络综合健康度，主动告知用户Internet、安全、无线终端等各方面存在的问题，为网络故障和异常进行预警提醒和一键优化。

方案价值

对租户的价值——降低企业OPEX，应用增值，提升竞争力

云简网络解决方案的极简部署与智能运维能力，让最终用户享受便捷网络服务的同时，缩短了网络开局周期，降低了企业OPEX。同时开放的云平台支持与第三方业务对接，支持增值业务创新，实现多业务融合，加速企业运营，从而大大提升企业的竞争力。

对MSP的价值——扩展服务范围，减少运维投入，增强客户粘性

云简网络解决方案简化了网络运维的难度，大大降低了MSP的运维人力投入；同时结合云平台的开放增值能力，MSP可以转变运营模式，提供一站式端到端的服务，为其增加客户忠诚度，实现商业价值。

MSP管理

分销渠道的场景，经常需要渠道商登录用户的账号，来帮用户配置设备、定位问题等。通过MSP管理，普通用户可申请自己的账号被渠道商代管，在不分享用户账号密码的情况下，实现云简网络账号的代管，极大的保证了用户账号的安全性。

对于渠道，使用MSP管理租户（用户）可快速在云简网络内完成网络托管，实现在一个MSP账号下统一管理多个租户网络，无需反复切换账号，简化管理方式。

云工勘

云简网络提供了工勘的功能，通过导入设计图，设置比例尺，在图片上设置障碍物，布放AP点位（障碍物及AP的参数、款型支持自定义），即可生成信号覆盖热图，并生成工勘报告。工勘报告可导出，内容包括需要设备款型、数量信息，AP布放点位信息等。使用云简网络云工勘功能，代替传统依赖经验的工勘方式，可大大提高工勘的准确性，为项目实施提供重要的参考依据。

验收报告

当一个项目实施完成后，我们需要对项目的质量进行验收，此时即可用到云简网络的验收报告功能。首先使用Cloudnet APP进行点位验收，检测不同点位的wifi信号质量，并将检测数据上传云简网络。结合云简网络收集的设备运行信息、终端接入的深度解析，自动生成验收报告。项目质量一目了然，同时对有问题的指标给出优化建议。

PPSK

PPSK是比传统的PSK认证更加安全的一种认证方式。PPSK认证支持一人一个密码，适用于对网络安全要求高的中小企业。以办公场景举例：通过云简网络，可快速批量创建一批密码，分发给本公司员工连网使用，每人的密码皆不同，且终端与密码绑定，可有效防控非法终端接入。对于外来访客，需扫描前台放置的二维码，通过微信小程序申请密码，前台人员一键审核后，即可获得密码访问网络，较之传统认证方式，可加强对外来访客的管理，保障网络的安全性。

多种认证

云简网络支持微信公众号认证，可以实现公众号吸粉功能，此外还支持短信认证和一键认证，满足更多场景化需求。

在办公场景，云简网络支持账号认证、访客认证、哑终端认证，分别为企业员工、外来访客和无线打印机等终端设备提供相应的认证方式，满足不同场景需求。

认证的页面提供场景化的认证模板，并支持可视化的高度自定义设置，可以支持1-4个营销页面的灵活呈现，并在页面上自由定义背景，图片，文本，视频，LOGO等元素。此外，还支持短信验证消息的抬头和内容自定义编辑。

云简网络为认证营销提供丰富的特性细节，如无感知认证功能，首次认证验证手机号功能，开发者模式等。

智能运维

云简网络为客户提供AC、AP以及终端的各项监控指标，通过计算与分析网络运行参数，主动发现网络中存在的问题，并呈现问题影响的范围，为用户提供告警、一键诊断、一键优化等功能。

一键诊断可全面检查网络的健康情况，帮助及时发现网络中的问题和隐患，提供解决方案解决后顾之忧。诊断范围覆盖设备配置、网络状态、设备运行情况等，可进行全面诊断，也可个性化选择诊断内容，诊断完成后自动输出详细的诊断结果，未通过的项目将展示问题的详情，定位具体问题，并给出可行的解决方案。

问题分析支持显示整网的网络问题信息，从问题现象入手，主动发现包括认证、接入、漫游、信号、网速慢、无线环境等网络问题。轻松发现各类问题在网络中占比，多角度分析问题的严重性与影响面，快速掌握问题的出现规律。结合终端监控和网络监控可快速定位问题根因，提高网络运维的效率。

一键网优可自动调优网络，提高网络品质。分析干扰与盲区，智能调整信道、频宽、功率，将同频干扰降低，提高有效信号覆盖，自动选择更高效的带宽组合。基于AP分组的场景化网优，可实现在指定范围内的精细化网优。

云简网络可以监控AC基本信息、运行情况评分历史、CPU和内存历史、端口信息、端口流量信息以及端口报文信息；提供全网AP监控以及异常AP的识别和预警功能，通过对AP进行评分，进而识别并监控网络内体验差的AP，通过查看AP信道利用率识别并预警信道分布不合理、干扰等情况，更详细的还有AP的射频参数、CPU和内存以及AP各时间段的评分日志；云简网络还提供了全网终端的健康度分析、体验较差的终端的预警与分析功能。

云简网络提供了VIP保障功能，对VIP列表中的终端和AP进行重点监控，并为VIP终端与AP提供优先的网络服务。同时还提供了查看仿冒MAC终端的功能，防止仿冒MAC对网络产生危害。

客流分析

提供不同维度的客流数据和流量数据的分析功能，支持查看30天内的客流数据和流量数据。

包括以下多种维度：

实时数据：呈现客流与流量数据实时值； 历史数据：回看30天内指定时间点数据；

数据趋势：按采样点绘制数据趋势曲线； 数据计算：呈现30天内指定时间段数据；

数据聚合：聚合全局或者指定分支数据； 数据排行：全局或者分支场所数据排行；

数据明细：查阅客流与流量的终端明细； 数据分析：基于多个维度分析客流比重；

数据报表：呈现与导出客流和流量报表。

分支连锁

借助云简网络，用户可轻松管理分支连锁场景的网络。

支持多场所设备的批量操作、升级与配置，极大的提升了管理网络的效率。

支持多场所设备接入，提供分支管理与场所标签功能，支持结构化管理与灵活管理分支类型的网络。

提供分级分权的账户体系，可为下级账户授权可以管理的网络及权限，实现多极化多角色管理。

支持数据的聚合与对比，可直接查看全局数据或者某个分支的数据，并随意进行横向、纵向的数据对比。

API接口

提供丰富的API接口，用户可以基于云简网络API接口提供的数据和功能，进行二次开发或者对接第三方业务。

支持智能AP负载分担

802.11协议把无线漫游的决策交给了无线客户端，无线客户端一般会根据AP信号强度(RSSI)选择AP，这很容易导致大量的客户端仅仅因为某个AP信号较强而连接到同一个AP上。由于这些客户端共享无线媒介，导致每个客户端的网络吞吐量大量减少。

智能负载分担可以实时地分析无线客户端的位置，动态地确定在当前时刻和当前位置下哪些AP可以彼此分担负载，通过控制无线客户端接入的AP，来实现这些AP间的负载分担。系统不仅支持按照用户在线会话数来进行负载分担，而且支持按照用户流量来进行负载分担。

硬件规格

软件规格