描述
全国现货供应:华为、华三等主流品牌
网络数据通信产品,咨询报价联系电话:18201370175(微信)
交换机、路由器、防火墙、华为无线AP、AC控制器、授权、光模块、板卡、服务器、存储、视频会议等产品。
供应华为AP8130DN-USA无线AP,室外AP,适合老设备替换、临时部署、边缘场景
部件编码:02350RHK
华为AP8130DN主机(11ac,室外普通型3×3双频,外置天线,美国专用)
华为AP8130DN-USA企业无线AP 产品规格
| AP最大接入用户数 | – | Refer to the FIT AP |
| MAC学习数 | – | 4096 |
| VLAN数 | – | 65 |
| IPv4路由数 | – | 256 |
| IPv6路由数 | – | 不支持 |
| ARP数量 | – | 1024 |
| ACL数 | 设备需预留部分ACL资源实现最基础的业务功能; 根据不同的业务特性,部分业务的一条规则需要占用多条ACL资源。 |
2048 |
| 管理AP数量 | 纯分布式场景是分布式远端模块数量;混合场景是分布式远端模块数量+普通AP之和。 | 不支持 |
| 管理中心AP数量 | 分布式场景的中心AP数量 | 不支持 |
| 管理IPV6终端数量(叠加AC内置网关和dhcpv6 server) | – | 不支持 |
| 支持的WMM模板数目 | – | 不支持 |
| 每模板黑名单或白名单数量 | AP上的规格表示黑名单数或白名单数,黑白名单中包含host和url数量各一半。 AC上的规格表示黑名单数和白名单数之和。 |
32 |
| 全局配置的域名个数 | – | 128 |
| 每个全量域名学习的全局IP地址数 | – | 16 |
| 每个通配域名学习的全局IP地址数 | – | 128 |
| 通配域名学习的全局子域名数 | – | 384 |
| IPSG表项规格 | 只有VLAN、以太端口的IPSG功能涉及IPSG表项规格,VAP的IPSG功能使用地址学习表项做报文检查,IPSG没有表项规格。 | 512 |
| 并发场景open/PSK用户最大数目 | – | 不支持 |
| 全局地址池的最大数目 | 和接口地址池共享规格 | 32 |
| 接口地址池的最大数目 | 与全局地址池共享规格 | 不支持 |
| 每个全局地址池的地址数目 | – | 1024 |
| 并发场景802.1X用户最大数目(叠加VRRP热备+DHCP Server场景+2个AC间漫游成员场景) | 参考值,转发不受限场景下的控制面用户上线性能 | 不支持 |
| 用户上线速率(叠加VRRP热备+DHCP Server场景+2个AC间漫游成员场景,单VLAN内1024用户或开启用户隔离:用户数/秒) | 参考值,转发不受限场景下的控制面用户上线性能 | 不支持 |
| 并发场景Portal用户最大数目(叠加VRRP热备+DHCP Server场景+2个AC间漫游成员场景) | – | 不支持 |
| Portal服务器规格 | 参见对应产品规格清单 | 8 |
| 外置Portal用户上线速率(叠加VRRP热备+DHCP Server场景+2个AC间漫游成员场景,单VLAN内1024用户或开启用户隔离:用户数/秒) | 参考值,转发不受限场景下的控制面用户上线性能 | 不支持 |
| 内置Portal用户上线速率(单VLAN内1024用户或开启用户隔离,用户数/秒) | 在没有其他业务叠加的情况下测试结果 | 不支持 |
| 内置Portal Server的接入用户规格 | – | 不支持 |
| 用户组的最大数目 | – | 128 |
| 可配置的802.1X客户端模板数量 | – | 不支持 |
| 可绑定802.1X客户端模板的接口 | – | 不支持 |
| AC N+1冷备中备AC可管理的AP数量 | 备AC最大接入AP数量规格的4倍。 | 不支持 |
| 支持配置的ble profile模板数 | – | 不支持 |
| 支持配置的ble设备监控白名单数 | – | 不支持 |
| 支持管理的ble设备数 | 单AP最多管理255个,单AC最多管理38400 | 不支持 |
| 定位精度 | 具体精度延迟和AP部署以及定位引擎相关。例:对接eSight, 3-9米(三点定位),60%位置误差在9米以内。定位延迟不超过20秒。 | 支持 |
| Mesh型VAP数量 | ||
| 配置Jumbo帧的最大长度 | 支持Jumbo帧的最大长度 | 不支持 |
| 端口的最大成员端口数 | 最大允许配置8个成员端口。 | 不支持 |
| RM的IPv4路由负载分担路径规格 | 见具体形态 注:RM的负载分担路径规格并不一定直接映射到转发平面的路径规格,BGP和静态路由会被迭代,可能迭代出超过该规格的路径 |
不支持 |
| RM的IPv6路由负载分担路径规格 | 见具体形态 注:RM的负载分担路径规格并不一定直接映射到转发平面的路径规格,BGP和静态路由会被迭代,可能迭代出超过该规格的路径 |
不支持 |
| 单个出端口的最大频道数 | 指组播源的(V,S,G) | 不支持 |
| ND数量 | – | 不支持 |
| 和Campus Insight对接能力 | 支持用于上报数据给Compus Insight和Campus Controller进行分析的WMI上报通道 | 支持 |
| 配置端口隔离模式 | 包含两种模式: 1、二三层业务都隔离。 2、隔离二层,不隔离三层。默认模式。 |
不支持 |
| 不同接口类型混合聚合 | 同一个Eth-trunk里,可以同时包含不同接口类型。比如:GE和XGE 不同接口按照协商速率进行负载分担。比如GE和XGE按照1:10权重负载分担。 |
不支持 |
| 配置负载分担算法 | 支持基于源MAC、目的MAC、源MAC+目的MAC、源IP、目的IP、源IP+目的IP 6种负载分担方式。 1、只支持逐流负载分担,不支持逐包负载分担; 2、负载分担算法是根据入接口的报文信息,而不是根据出接口的报文信息进行计算的。 |
不支持 |
| 聚合组之间的保护倒换 | 端口组内活动端口少于配置的最小活动端口值,聚合端口状态转换为down状态 | 不支持 |
| 静态LACP | 端口加入静态Eth-Trunk后开启LACP报文的发送与接收;端口退出静态Eth-Trunk后关闭LACP报文的发送与接收 | 不支持 |
| Telnet服务端 | – | 不支持 |
| Telnet客户端 | 设备作为客户端连接服务器时,支持指定源IP地址(可以是所有三层接口的IP)、进行Telnet连接的端口号 支持Telnet指定的域名(最长255个字符)。 |
支持 |
| SSH协议版本 | 支持SSHV2.0,兼容V1.5。当只支持V2.0时,显示的版本号为V2.0,当是既支持V2.0又支持V1.5时,根据协议规定,显示的版本号为V1.99。 | 支持 |
| Stelnet服务端 | 配置、查询开启/关闭STELNET服务器功能 | 支持 |
| SFTP服务端 | 配置、查询开启/关闭SFTP服务器功能。支持文件上传,下载,文件名修改,删除以及目录的新建,删除,更换操作路径和显示的操作。 | 支持 |
| 基于MIB视图的访问控制 | 配置MIB视图,作用是基于视图控制用户权限 | 支持 |
| 基于用户的认证和访问控制(SNMPv3) | 基于用户的认证和访问控制 | 支持 |
| 基于用户组的认证和访问控制(SNMPv3) | 基于用户组的认证和访问控制 | 支持 |
| 基于团体名的访问控制 | SNMP v1/v2c支持基于团体名的访问控制 | 支持 |
| NTP客户端/服务器服务方式 | 可以设置一台或多台网络设备作为 NTP 时间服务器,向 client 端提供同步时间来同步 client 端的系统时钟。 支持通过iP地址或者域名配置时间同步服务器地址。 |
支持 |
| 配置系统时间 | 设置当前系统的日期和时间,日期格式为:YYYY-MM-DD,时间格式为:HH:MM:SS | 支持 |
| 配置本地时区 | 设置设备所在地区的时区,相对于格林威治时间 | 支持 |
| 配置本地夏令时 | 设置夏令时信息,包括: 1.夏令时开始时间; 2.夏令时结束时间; 3.夏令时调整时间开始和结束时间可以按日期和星期两种方式进行设置。也可以删除设置的夏令时信息。 | 支持 |
| 查询系统时间 | 查询当前系统的日期和时间、时区和夏令时,AP款型上没有RTC时间模块,如果在10分钟内发生不断电重启,会有10分钟误差,如果发生断电重启,会有24小时左右误差。 | 支持 |
| 日志信息输出 | SYSLOG(RFC3164):日志类信息的输出 | 支持 |
| 告警信息输出 | RFC1157:告警类信息的输出 | 支持 |
| 信息分级管理 | 支持8个等级的信息,并支持按照等级进行信息过滤(等级越小,信息越严重) | 支持 |
| FTP Server | – | 支持 |
| FTP Client | – | 支持 |
| TFTP客户端 | 支持通过put和get的方式进行文件的上传和下载 支持TFTP指定的域名(最长255个字符) |
支持 |
| 通过长按reset键恢复出厂配置 | 支持通过长按reset(3秒以上)恢复出厂配置;恢复出厂配置时设备会自动复位重启。 | 支持 |
| 通过命令行触发恢复出厂配置 | 支持通过命令行触发恢复出厂配置;恢复出厂配置时设备会自动复位重启。 | 支持 |
| 指定当前配置或者配置文件为出厂配置 | 支持指定当前配置或者配置文件为出厂配置,指定后,需要复位设备生效。指定的当前配置或者配置文件支持cfg/zip两种格式 | 不支持 |
| 设置设备的下次启动配置文件、license、补丁 | 设置在重启后生效(不包括license) | 不支持 |
| 设置设备的备份启动版本包 | 支持通过命令行设置备份启动大包 | 不支持 |
| 自动回退版本 | AC: 1.先用设置的下次版本包启动,启动失败3次后,执行步骤2 2.用上次版本包启动,如果失败马上执行步骤3 3.尝试查找除下次版本包及上次版本包以外的版本包,再进行启动,如果仍然失败回到步骤1AP/AT: 从当前配置启动区(主区)启动产品大包,启动失败后(3次),再到备区启动。如果备区启动失败(3次)则再次尝试从主区启动。 |
不支持 |
| 版本回退告警 | 自动回退后,将会产生告警(告警中有回退后的版本信息) | 不支持 |
| 智能升级 | 支持按设备的版本,从HOUP平台获取推荐升级的版本,并支持用户进行下载、升级操作 FIT AP有两种实现方式: 1、升级包先下载到AC或者leader AP上,再由AC或者Leader AP给FIT AP升级 2、fit AP直接连接HOUP服务器下载大包并升级SOHO款型,由于手机APP会连HOUP平台,后通过控制器下发,因此SOHO款型的CLOUD模式也是支持智能升级的。 |
不支持 |
| 支持AP以DHCP Option43方式发现AC | 支持AP以DHCP Option43方式获取AC IP。 | 不支持 |
| 支持AP以DHCPv6 option 52方式发现AC | – | 不支持 |
| 支持AP以DNS方式发现AC | 支持AP以DHCP方式获取AC DNS域名和域名服务器的方式获取AC IP。 | 不支持 |
| 支持AP以CAPWAP广播方式发现AC | 支持CAPWAP协议的广播方式发现AC(在二层网络中有效)。 | 不支持 |
| 支持AP以配置的静态AC IP方式发现AC | – | 不支持 |
| 支持基于MAC的AP黑白名单功能 | – | 不支持 |
| 支持基于SN的AP白名单功能 | – | 不支持 |
| 支持分别指定上行数据和控制隧道的优先级 | AP上行CAPWAP DSCP | 不支持 |
| 基于用户的优先级映射 | – | 支持 |
| 支持空口上行80211e到CAPWAP、soft-GRE DSCP的映射 | – | 不支持 |
| 支持空口上行80211e到CAPWAP、softGRE 8021p的映射 | – | 不支持 |
| 空口上行802.11e到报文802.1p和DSCP的映射 | – | 支持 |
| 空口上行DSCP到报文802.1p的映射 | – | 不支持 |
| 支持空口上行指定CAPWAP DSCP | – | 不支持 |
| 空口下行802.1p到802.11e的映射 | 集中转发用户下行使用CAPWAP头中的优先级字段;softGRE转发用户下行使用softGRE头中的优先级字段; | 不支持 |
| 空口下行DSCP到802.11e的映射 | 集中转发用户下行使用CAPWAP头中的优先级字段;softGRE转发用户下行使用softGRE头中的优先级字段; | 支持 |
| 空口下行802.11e到WMM队列的映射 | 固定映射 | 支持 |
| 支持下行报文优先级到CAPWAP优先级的映射 | 隧道转发用户,AC下行封装CAPWAP头时,支持根据原始报文优先级封装CAPWAP报文优先级 | 不支持 |
| 对端口流量限速 | AC物理接口下行不支持 | 支持 |
| 基于802.1p限速 | – | 不支持 |
| 基于端口的流量整形 | 物理端口包括以太端口 注:只支持下行的流量整形 |
不支持 |
| WMM(802.11e) | – | 支持 |
| 基于VAP的上下行流量限速 | – | 支持 |
| 基于用户的上下行流量限速 | – | 支持 |
| 基于用户组的上下行流量限速 | – | 支持 |
| 支持基于SSID的CAR功能 | 基于ssid-profile在AC设备进行限速。其功能即为绑定相同ssid-profile的所有VAP共享CAR桶执行流量监管功能。通常SSID和ssid-profile一一对应,此时该CAR即基于SSID的流量监管。 | 不支持 |
| WLAN 用户CAR功能 | 用户CAR参数通过RADIUS下发或本地配置的User-profile模板获取。 | 支持 |
| VAP间用户隔离 | 隔离模式分为二层隔离和全部隔离。 本地转发的情况,全部隔离和二层隔离是等价的,且需要AP上游二三层设备配合才能完成用户隔离; 集中转发的情况,如果AC作为用户网关,则全部隔离会禁止用户间所有二三层互访流量;如果AC不作为用户网关,则全部隔离和二层隔离是等价的,且需要AC上游二三层设备配合才能完成用户隔离。 |
支持 |
| VAP内用户隔离 | 隔离模式分为二层隔离和全部隔离。 本地转发的情况,全部隔离和二层隔离是等价的,且需要AP上游二三层设备配合才能完成用户隔离; 集中转发的情况,如果AC作为用户网关,则全部隔离会禁止用户间所有二三层互访流量;如果AC不作为用户网关,则全部隔离和二层隔离是等价的,且需要AC上游二三层设备配合才能完成用户隔离。 |
支持 |
| 根据ACL进行流分类 | 支持标准IPv4 ACL、扩展IPv4 ACL、二层ACL进行流分类。 | 不支持 |
| 根据ACL6进行流分类 | 支持标准IPv6 ACL、扩展IPv6 ACL进行流分类; | 不支持 |
| 根据报文中的简单域进行流分类 | 支持DSCP/IP Precendence、vlan、源/目的MAC、以太网二层协议类型、IP协议版本号、TCP syn-flag等。 | 不支持 |
| 基于端口的广播流量抑制 | 支持pps模式,默认不抑制 | 不支持 |
| 基于端口的组播流量抑制 | 支持pps模式,默认不抑制 | 不支持 |
| 基于端口的未知单播流量抑制 | 支持pps模式,默认不抑制 | 不支持 |
| 基于URL的黑白名单 | – | 支持 |
| AV检测的文件类型 | 支持PE类型下4种文件格式:exe,dll.com.ocx | 不支持 |
| AV检测的多种协议类型 | 支持AV检测的协议有7种:HTTP,FTP,IMAP,POP3,SMTP,SMB,NFS | 不支持 |
| 标准IPv4 ACL | 基本访问控制列表,ACL编号2000~2999,匹配字段:源IP、分片包标记、时间段 | 支持 |
| 扩展IPv4 ACL | 高级访问控制列表,ACL编号3000~3999,匹配字段:源IP/目的IP、TCP源和目的端口、UDP源和目的端口、协议类型、DSCP/ToS/IP Precedence、分片包标记、ICMP-Type、ICMP-code、时间段、TCP flag FIT AP仅支持3000~3031 |
支持 |
| UCL4 | 用户访问控制列表,ACL编号6000~6999,匹配字段在扩展ACL的基础上,新增支持源UCL-GROUP和目的UCL-GROUP FIT AP仅支持6000~6031 |
支持 |
| ACL按时间段生效 | 支持配置时间段,在ACL规则中通过名字引用,时间段中的时间可以是周期时间段,即周几+小时+分钟,也可以是绝对时间段,即日期+小时+分钟。时间段与ACL规则关联后,只有在时间段内相关的ACL规则才生效。 | 不支持 |
| 接口下应用ACL | 简化ACL功能: 支持在AC的VLANIF、wired-port-profile、traffic-profile中绑定; 支持在FAT中心AP的VLANIF、有线端口、wired-port-profile、traffic-profile中绑定; 支持在FAT AP的VLANIF、有线端口、traffic-profile中绑定; traffic-profile中绑定acl范围3000~3031/4000~4031/6000~6031; wired-port-profile中绑定acl范围3000~3031/4000~4031。 |
支持 |
| 基于源IP的ARP报文抑制 | 可以控制特定源IP发送过来的ARP报文速率,超过配置速率后丢弃。可以指定对特定源IP进行抑制,或者对所有源IP进行抑制 缺省情况下,设备允许1秒内最多只能有同一个源IP地址的5个ARP报文通过。 注:针对上送控制面的报文生效,超过规格的IP不再抑制 |
支持 |
| 基于全局的ARP报文抑制 | 可以控制全局的ARP报文速率,限速方式为报文个数/时间,超过配置速率后丢弃。 缺省情况下,在1秒内设备最多允许100个ARP报文通过。 注:针对上送控制面的报文生效 |
不支持 |
| 基于端口的ARP报文抑制 | 可以控制端口的ARP报文速率,限速方式为报文个数/时间,超过配置速率后丢弃。 缺省情况下,在1秒内设备最多允许100个ARP报文通过。 注:针对上送控制面的报文生效 |
不支持 |
| 基于VAP的IPSG | – | 支持 |
| IPv6流量应用识别 | – | 不支持 |
| 支持WEP链路不认证和不加密 | 支持WEP方式下链路不认证,数据不加密。 | 支持 |
| WEP共享密钥链路认证和加密 | Shared Key认证是需要客户端和设备端配置共享密钥;WLAN设备会在链路认证过程中随机产生一串字符发送给客户端;客户端会对接收到字符串拷贝到新的消息中加密后发送给WLAN设备端;设备端接收到该消息后,会对解密后的字符串和最初给客户端的字符串进行比较,确定客户端是否通过认证。如果字符串匹配,则说明客户端拥有设备端相同的共享密钥,即通过了Shared Key认证;否则Shared Key认证失败。 | 支持 |
| WEP-40加解密 | 用户无线数据报文使用配置的Share-Key进行WEP加密,WEP 使用RC4加密算法,支持的密钥长度为40Bit。 | 支持 |
| WEP-104加解密 | 用户无线数据报文使用配置的Share-Key进行WEP加密,WEP 使用RC4加密算法,支持的密钥长度为104Bit。 | 支持 |
| WEP-128加解密 | 用户无线数据报文使用配置的Share-Key进行WEP加密,WEP 使用RC4加密算法,支持的密钥长度为128Bit。 | 支持 |
| WPA/WPA2/WPA-WPA2 + MAC加密认证方式 | – | 支持 |
| 管理帧加密PMF功能 | 支持管理帧加密PMF功能,wpa2-wpa3混合模式,pmf选则optional,对于wpa3模式,则pmf则必选 | 支持 |
| WPA2-WPA3/WPA3 + Portal加密认证方式 | – | 不支持 |
| WPA2-WPA3/WPA3 + MAC加密认证 | – | 不支持 |
| WPA2-WPA3/WPA3 + MAC + Portal加密认证方式 | – | 不支持 |
| WPA3个人版 | 1)WPA3个人版引入了SAE握手协议,和WPA/WPA2-PSK认证相比,可以有效地抵御离线字典攻击,增加暴力破解的难度,并且SAE握手协议能够提供前向保密,即使攻击者知道了网络中的密码,也不能解密获取到流量,大大提升了WPA3个人网络的安全。 2)由于WPA2仍在广泛使用,为了能兼容暂时不支持WPA3的终端能接入WPA3网络,Wi-Fi联盟规定了WPA3的过渡模式,即WPA3和WPA2在未来的一段时间里可以共存。该模式仅针对WPA3个人版,WPA3企业版不支持过渡模式。 3)WPA3-SAE无法支持PPSK,由于SAE的one time one try特性防范了录制报文的离线字典攻击,AP无法在一次握手中尝试多个密码故无法支持。 针对此问题Aruba给IEEE提了一个提案(Modifying a Password Identifier to SAE),通过终端增加一个密钥标识的方法来标定终端选用的密码,该提案未正式写入标准所以暂时也不考虑。 4)支持ASCII和16进制方式输入WPA3 PSK |
不支持 |
| WPA3企业版 | WPA3企业版仍然使用WPA2企业版的认证体系,采用可扩展认证协议EAP的方法进行身份验证,但是在算法强度上WPA3做了加强,将加密套件更换成了美国联邦安全局定义的CNSA(Commercial National Security Agency)套件,CNSA套件具有强大的加密算法,被用在对安全性要求极高的场合。
WPA3企业版支持安全套件Suite B,该安全套件使用192 bit最小安全,支持GCMP-256(伽罗瓦/反模式协议,Galois Counter Mode Protocol)、GMAC-256(GCMP的伽罗瓦消息认证码,Galois Message Authentication Code)和SHA384。 |
不支持 |
| PPSK | 支持wpa/wpa2/wpa-wpa2加密认证的个性化PSK功能 | 支持 |
| WPA PSK认证 | WPA-PSK(Pre-ShareKey)认证是一种预共享密钥的认证方式,主密钥PMK的产生由密钥短语和SSID共同衍生出来,其中密钥短语由用户配置,WPA-PSK认证实质是在密钥协商过程中完成,密钥协商成功,则认证通过,否则认证失败。 WPA-PSK的配置方式有两种方式,一个是基于VAP的传统PSK认证方式,这种方式VAP下所有的STA共用一个PSK,安全性较差;一个是基于STA的PPSK认证方式,每个STA的PSK可以单独配置,有效提升PSK认证方式的安全性。 |
支持 |
| WPA 802.1X认证 | WPA-802.1X认证是基于用户帐号的认证方式,采用EAP协议承载认证报文,在认证成功后生成PMK,基于PMK进行EAP-Key协商,四次握手后,WLAN用户和AC协商初单播密钥PTK和组播密钥GTK。 | 支持 |
| WPA2 PSK认证 | WPA2-PSK(Pre-ShareKey)认证是一种预共享密钥的认证方式,主密钥PMK的产生由密钥短语和SSID共同衍生出来,其中密钥短语由用户配置,GMK由AC根据SSID衍生出来。WPA2-PSK认证实质是在密钥协商过程中完成,密钥协商成功,则认证通过,否则认证失败。 WPA2-PSK的配置方式有两种方式,一个是基于VAP的传统PSK认证方式,这种方式VAP下所有的STA共用一个PSK,安全性较差;一个是基于STA的PPSK认证方式,每个STA的PSK可以单独配置,有效提升PSK认证方式的安全性。 |
支持 |
| WPA2 802.1X认证 | WPA2-802.1X认证是基于用户帐号的认证方式,采用EAP协议承载认证报文,在认证成功后生成PMK,基于PMK进行EAP-Key协商,四次握手后,WLAN用户和AC协商初单播密钥PTK和组播密钥GTK。 | 支持 |
| TKIP加解密算法 | WPA/WPA2支持无线数据TKIP加解密算法 | 支持 |
| CCMP加解密算法 | WPA/WPA2支持无线数据CCMP加解密算法 | 支持 |
| WAPI认证加密 | WAPI是一种仅允许建立RSNA(Robust Security Network Association,健壮安全网络连接)的安全网络,提供比WEP和WPA更强的安全性。WAPI可通过信标帧的WAPI IE(Information Element,信息元素)中的指示来标识。WAPI支持WAPI-PSK和WAPI-CERT两种模式。 WAPI认证配置后x761、x762 AP款型的VAP最高工作在802.11ac模式。 |
不支持 |
| 生成和缓存PMK/BK | 属于单播密钥管理功能 | 支持 |
| 设备类型识别 | 支持识别设备类型:AP、网桥、终端、adhoc AirEngine x762系列AP不支持monitor模式,仅识别AP设备。 |
支持 |
| 对检测到的设备进行风险分类 | 支持风险分类:合法设备、非法设备(Rogue设备) 非法设备:adhoc设备、未匹配合法性判定规则的AP、网桥、关联非法AP的终端。 合法设备:匹配合法性判定规则的AP、网桥、关联合法AP设备的终端。 |
支持 |
| 风险防御-反制 | 支持对以下风险进行反制防御:spoof AP、非法adhoc设备、认证方式为open的非法AP、非法终端、合法终端保护(通过绑定终端黑名单模板实现);支持手动指定配置需要被反制的设备,配置规格同wids设备规格。 AirEngine x762系列AP仅支持AP广播反制。 |
支持 |
| 泛洪攻击检测 | 泛洪攻击(Flooding 攻击)是指WLAN 设备会在短时间内接收了大量的同种类型的报文。此时WLAN设备会被泛洪的攻击报文淹没而无法处理真正的无线终端的报文。IDS 攻击检测通过持续的监控每台设备的流量大小来预防这种泛洪攻击。当流量超出可容忍的上限时,该设备将被认为要在网络内泛洪从而被锁定,此时如果使能了动态黑名单,检查到的攻击设备将被加入动态黑名单。 支持下列报文的泛洪攻击检测。 Probe request Association request Disassociation request Reassociation request Authentication request Deauthentication request Action Eapol start Eapol logoff |
支持 |
| Weak IV(弱向量)检测 | WLAN 在使用WEP 链路加密的时候,对于每一个报文都会使用初始化向量(IV,Initialization Vector),它是基于共享密钥和一个伪随机生成的3 比特序列。当一个WEP 报文被发送时,用于加密报文的IV 也作为报文头的一部分被发送。 但是在验证发送的某些类型的 IV 的时候,可能对于潜在的攻击者会暴露共享的密钥,如果潜在的攻击者获得了共享的密钥,攻击者将能够控制网络资源。 WIDS IPS 通过识别每个WEP 报文的IV 来预防这种攻击. |
支持 |
| Spoofing攻击检测 | 这种攻击的潜在攻击者将以其他设备的名义发送攻击报文。例如:一个欺骗的解除认证的报文会导致无线客户端下线。 WIDS IPS 对于广播解除认证和广播解除关联报文检测是否有欺骗攻击。当接收到这种报文时将立刻被定义为欺骗攻击并发送告警。 |
支持 |
| PSK密钥防暴力破解功能 | 支持的PSK类型有:wpa-psk、wpa2-psk、wapi-psk、wep-share-key 注:wep-share-key针对终端open接入不生效。 |
支持 |
| 隐藏SSID功能 | – | 支持 |
| 定时关闭指定ESS功能 | 支持定时关闭指定ESS,关闭该ESS对应的所有VAP。 | 支持 |
| AP转换EAP报文目的MAC功能 | 该功能在AP上实现,AC只是下发开关。 1、分别配置对eapol-start和eapol-response,转换报文目的MAC,可以转换成:广播、组播、单播; 2、转换方式可以配置为转换所有报文,或者仅转换目的MAC为AP BSSID的报文; |
支持 |
| 支持CAPWAP断链业务保持功能 | 支持CAPWAP断链业务保持功能: 1、对本地转发的用户,已经在线用户实现断链不断业务,新用户无法上线。 2、链路恢复后,用户重新上线。 3、非本地转发,已上线的用户,业务中断。 |
不支持 |
| 支持CAPWAP断链AP本地接入功能 | AP断开CAPWAP连接后,本地能够支持WEP、WPA/WPA2 PSK方式的新用户上线。CAPWAP恢复后,用户需要重新上线 | 不支持 |
| 支持非ASCII码的SSID | – | 不支持 |
| 802.1X协议标准 | – | 支持 |
| 802.1X接入认证 | 802.1X用户接入认证实现了对接入用户的身份认证,为网络服务提供了安全保护。802.1X接入认证需要认证客户端。 802.1X是基于端口的网络接入控制,基于端口是指在WLAN接入设备即AP的端口这一级对所接入的用户设备进行认证和控制。 |
支持 |
| Portal接入认证 | Portal用户接入认证实现了对接入用户的身份认证,为网络服务提供了安全保护。Portal接入认证无需用户安装认证客户端。Super VLAN对应的VLANIF下不能开启Portal认证。 支持Web Proxy场景下进行Portal认证。 |
支持 |
| MAC认证 | MAC接入认证,和PSK认证结合使用,利用PSK协商密钥实现加解密,利用MAC地址,实现了对接入用户的MAC身份认证,为网络服务提供了安全保护。MAC接入认证无需用户安装认证客户端。 | 支持 |
| PSK(pre-share-key)接入认证 | PSK接入认证为IEEE802.11i定义的一种新的接入认证方式,该认证方式仅支持WLAN无线用户。 PSK认证需要实现在客户端和设备端配置相同的预共享密钥,而具体的认证过程实际上在密钥协商过程(EAPOL-Key密钥协商过程)中完成。在密钥协商过程中,预共享密钥将作为输入生成密钥协商过程使用的PMK。 |
支持 |
| 基于AP的用户接入控制 | AP的最大接入用户数由AC下发,但控制点仍旧在AP。AC控制用户可以接入的AP。 | 支持 |
| 基于VAP的用户接入控制 | 支持基于VAP的用户接入数控制,AC侧支持配置,实际控制点在AP侧,仅支持单个VAP的规格控制,不支持基于整个SSID的用户接入控制 | 支持 |
| 基于射频的用户接入控制 | 根据射频的用户数或信道利用率控制用户接入(多用户接入CAC) | 不支持 |
| 用户异常下线检测 | 支持用户异常下线检测,WLAN用户下线探测由AP完成,用户异常下线后上报AC,AC不对用户下线探测,具体原因有: 1. WDS链路断开 2. 用户老化 3. 配置变更 4. 秘钥槽不足够 5. 用户未响应 6. 用户在动态黑名单 7. 弱信号接入 8. 用户速率低 9. 用户私设IP 10. 离线业务保持接入的用户重新上线 11. 未发送DHCP请求 12. PMK协商失败 13. 组播秘钥失败 |
支持 |
| 查看和清楚基于用户的统计信息 | 支持基于用户的统计信息查询,支持统计信息清零。 用户统计信息: 向该无线终端发送的报文数 从该无线终端接收的报文数 向该无线终端发送的报文数 从该无线终端接收的报文数 向该无线终端发送的字节数 从该无线终端接收的字节数 当前向该无线终端发送的速率(kbps) 当前从该无线终端接收的速率(kbps) |
支持 |
| 支持802.1x集中认证,本地转发功能 | 支持本地转发模式下,802.1x认证报文经过CAPWAP数据隧道转发到AC | 不支持 |
| 支持portal集中认证,本地转发功能 | 支持本地转发模式下,用户认证前http报文经过CAPWAP数据隧道转发到AC,认证后本地转发功能。同时AP支持Free rule功能。 | 不支持 |
| 私设IP地址用户禁止接入 | 在IPSG功能开启的情况下,检测到私设IP地址的用户,可以自动使其下线,并进入动态黑名单,黑名单支持256个,每秒只能下线一个用户。 | 不支持 |
| 支持对一组射频进行负载均衡 | 支持基于STA数均衡策略 | 不支持 |
| 支持基于AP的动态负载均衡功能 | 支持基于STA数均衡策略、支持基于AP和STA的11ac和MU-MIMO能力均衡 | 不支持 |
| 用户白名单方式的接入控制 | 管理员配置用户白名单MAC地址,可基于AP或VAP控制;只有在白名单中的用户才能接入网络; 可配置用户MAC OUI进行白名单模糊匹配 |
支持 |
| 用户黑名单方式的接入控制 | 管理员配置用户黑名单MAC地址,基于AP或VAP控制。若用户属于黑名单,则无法接入网络。 | 支持 |
| 支持用户在AC内的漫游 | 支持用户在AC内的漫游。AC只支持同一个ESSID下的AP间的移动设备的漫游。目前WAPI网卡都不支持重关联,所以不支持WAPI用户的漫游。 约束: 1、不支持用户在guest vlan和restrict vlan权限下漫游 |
不支持 |
| 支持用户在AC内跨VLAN漫游 | 支持用户跨VLAN漫游,漫游时保持用户VLAN不变: 约束 1、不支持用户在guest vlan和restrict vlan权限下漫游 |
不支持 |
| 支持AC间漫游 | 支持用户跨AC的漫游。目前WAPI网卡都不支持重关联,所以不支持WAPI用户的漫游。 约束: 1、不支持用户在guest vlan和restrict vlan权限下漫游 |
不支持 |
| 配置弱信号踢用户下线 | – | 支持 |
| PPPoE用户认证 | – | 不支持 |
| 本地认证方法 | 该认证方法为认证方案的默认认证方式 | 不支持 |
| RADIUS认证方法 | 支持到远端RADIUS服务器上进行认证 | 支持 |
| HWTACACS认证方法 | 支持到远端HWTACACS服务器上进行认证 | 不支持 |
| LDAP认证方法 | – | 不支持 |
| 主备服务器备份 | – | 支持 |
| Radius服务器授权IPV6重定向ACL和URL | 用户认证通过后,RADIUS服务器下发的IPV6的得定向ACL和URL地址,设备匹配ACL向用户推送URL地址。 | 不支持 |
| 地址申请、续租、释放 | 支持地址申请、续租、释放功能。能接受server回应的最短租期为8秒 | 支持 |
| 基于全局地址池的DHCP服务器功能 | DHCP服务器从全局地址池中为客户端分配地址和配置信息 | 支持 |
| 基于VLANIF接口地址池的DHCP服务器功能 | DHCP服务器从VLANIF接口地址池中为客户端分配地址和配置信息。 | 不支持 |
| VLANIF接口的中继代理功能 | 基于VLAN逻辑接口中继客户端的报文 | 不支持 |
| 基于全局的DHCP Snooping | 支持基于全局的DHCP SNOOPING功能。 | 不支持 |
| 基于端口的DHCP Snooping | 支持基于端口的DHCP SNOOPING功能。 | 支持 |
| 基于VLAN的DHCP Snooping | 支持基于VLAN的DHCP SNOOPING功能。 | 不支持 |
| 基于VAP的DHCP snooping | – | 支持 |
| HTTP方式的Portal认证 | – | 不支持 |
| 外置微信认证 | 基于portal的微信认证(含微信账号认证和扫码认证) | 支持 |
| 内置微信认证 | 基于portal的微信认证(含微信账号认证和扫码认证) | 不支持 |
| iOS系统的CNA功能 | – | 支持 |
| 本地转发方式的Portal认证 | – | 支持 |
| PAP/CHAP认证方式 | 用户的密码可以以明文方式或密文方式发送给设备进行认证处理。 | 不支持 |
| 强制重定向功能 | 用户在认证前,通过IE访问HTTP页面时,设备可以将用户强制重定向到WEB认证页面,让用户必须认证通过后才能访问网络资源。 | 支持 |
| 基于MAC帐号的Portal认证 | 优先使用用户MAC地址作为账户进行Portal认证。 | 支持 |
| 与无线PSK认证方式组合 | 支持与无线PSK接入认证方式WPA/WPA2/WAPI PSK组合 | 不支持 |
| 基于用户SSID的页面推送功能 | 在用户认证前、后,可以基于ssid下的配置,为用户推送不同的WEB页面(认证前的推送为强制,认证后的推送为强推)。 | 支持 |
| 基于用户账号的页面强推功能 | 在用户认证通过后,可以基于RADIUS服务器下发的URL地址推送不同的WEB页面。 | 不支持 |
| IPv6用户HTTP URL强制重定向到外置Portal服务器 | 用户认证前,基于接口绑定的服务器模板配置推送WEB认证页面。 | 不支持 |
| 主备Portal服务器 | 同时绑定主备两个portal服务器,主服务器不可达时,用户的HTTP报文会被重定向到备portal服务器 | 支持 |
| Portal认证逃生 | Portal服务器Down支持用户接入,可以控制用户权限 | 支持 |
| 认证前强制到登录页面功能 | – | 支持 |
| Captive Assist bypass功能 | 支持苹果captive bypass功能 | 支持 |
| 内置Portal Server | – | 不支持 |
| 用户分组的高级ACL授权 | – | 支持 |
| Telnet接入 | 支持Telnet接入:认证授权计费 | 支持 |
| Terminal(Console)接入 | 支持Terminal(Console)接入:认证授权计费 | 支持 |
| SSH接入 | 支持SSH接入:认证授权计费 | 支持 |
| FTP接入 | 支持FTP接入:认证授权计费 | 支持 |
| WEB网管用户接入 | 支持WEB网管用户接入:认证授权计费 | 支持 |
| 基于MAC地址识别设备类型 | 通过匹配MAC地址的前6位(Organizationally Unigue Identifier,组织唯一标示符,即OUI)可以找出对应的设备厂商。 | 不支持 |
| 基于HTTP User-Agent信息识别设备类型 | User-Agent作为HTTP Head Field中的项,在Get报文中会携带,通常一个Head Field中只携带一个,但是协议规定可以携带多个。以“User-Agent: ”开头,以“\r\n”结束,长度也没有限制,正常情况下不会超过200个字节。 设备在用户强制或强推过程中,分析HTTP的Get报文,获取到User-Agent信息,根据User-Agent信息可以判断和分析设备类型。 如果Get报文中有多个User-Agent信息,只取第一个; 截取的User-Agent长度见radius属性文档。 |
不支持 |
| 基于DHCP Option信息识别设备类型 | 通过DHCP Option可以识别终端主机名以及厂商类型 | 不支持 |
| 基于MAC地址、DHCP Option、HTTP User-Agent信息组合识别设备类型 | – | 不支持 |
| 配置802.1X客户端模板 | – | 不支持 |
| 有线口绑定802.1X客户端模板进行802.1X认证 | – | 不支持 |
| 基于MAC的802.1X认证 | 基于MAC的802.1X认证,该端口下的所有接入用户均需要单独认证。只有认证通过后,该用户才能具有访问网络资源的权限。 | 支持 |
| 802.1X端口强制非授权模式 | 强制非授权模式;指示端口始终处于非授权状态,不允许用户访问网络资源。 | 不支持 |
| EAP认证类型(终结模式) | 设备直接终结802.1X用户的EAP报文,获取用户身份信息,进行本地或HWTACACS认证,或者直接把用户身份信息封装在RADIUS报文的属性中,发送给RADIUS服务器完成认证。 支持的EAP认证方法有:EAP-CHAP,EAP-PAP。 |
不支持 |
| EAP认证类型(中继模式) | 802.1X透传认证,设备不会终结用户的EAP报文,而是把携带802.1x用户认证信息的EAP报文直接封装到RADIUS报文的属性字段中,发送给RADIUS服务器,由RADIUS服务器解析EAP报文,获取用户信息,完成认证。 支持的认证方法有:EAP-TLS,EAP-TTLS,EAP-PEAP,EAP-CHAP,EAP-SIM,EAP-AKA,EAP-GTC,EAP-FAST。 |
支持 |
| 802.1X的快速部署 | 802.1X接入是最普遍的一种安全接入方式。用户在使用802.1X接入前,必须首先安装或升级802.1X客户端,即部署802.1X接入。通常采用Free IP和重定向方式由用户主动或强制被动访问802.1x客户端下载页面,进行客户端安装部署。 | 不支持 |
| EAP-PAP/EAP-MD5认证方法 | EAP-MD5认证方法,即客户端使用设备产生的挑战字对密码进行加密,然后用加密后的密码进行认证的方法。 | 不支持 |
| DHCP trigger触发802.1X认证功能 | 如果端口配置了802.1X认证,当检测到用户DHCP报文后,设备主动触发客户端进行802.1X认证。 | 不支持 |
| 基于用户SSID的页面强推功能 | 在用户认证通过后,可以基于SSID下配置的URL地址推送不同的WEB页面。 | 不支持 |
| 基于用户账号的页面强推功能 | 在用户认证通过后,可以基于RADIUS服务器下发的URL地址推送不同的WEB页面。 | 不支持 |
| 802.1X用户本地接入认证功能 | – | 不支持 |
| AP透传有线口EAP报文 | – | 支持 |
| 固定用户名和密码作为帐号的MAC认证 | 可以配置固定的用户名和密码作为MAC认证用户的认证帐号。 | 不支持 |
| MAC地址作为帐号的MAC认证 | 可以使用用户的MAC地址作为用户认证的用户名和密码。MAC地址作为用户名和帐号时的具体格式可以配置。 | 支持 |
| 配置SFN功能 | – | 不支持 |
| AC间1+1热备主备模式 | VRRP热备和双链路热备都支持主备模式,VRRP热备支持基于VRRP4和VRRP6备份组的热备,历史版本由于技术原因无法支持DTLS加密,在R20C10版本,解决该约束,支持VRRP热备下DTLS capwap加密。 | 不支持 |
| AC间1+1热备负载均衡模式 | 双链路热备支持,VRRP热备不支持 | 不支持 |
| AC间1+1冷备 | – | 不支持 |
| AC间N+N冷备 | – | 不支持 |
| 支持softGRE数据隧道转发模式 | AP与网关建立softGRE隧道,用户数据报文通过softGRE隧道进行转发。 Ipv4只支持和路由器ME60、无线UGW9811对接 Ipv6暂无对接设备。 |
不支持 |
| 5G优先 | 双频终端接入,优先导航到5G信道,(R19C10版本后,支持接入后再进行迁移引导到5G频段) | 支持 |
| 2.4G和5G负载均衡 | – | 支持 |
| 配置网络类型 | – | 不支持 |
| 配置场所类型 | – | 不支持 |
| 配置网络认证类型 | – | 不支持 |
| 配置3GPP网络标识 | – | 不支持 |
| 配置网络连接能力 | – | 不支持 |
| 配置热点运营商域名 | – | 不支持 |
| 配置漫游联盟标识 | – | 不支持 |
| 配置蓝牙广播功能 | – | 不支持 |
| 配置蓝牙设备监控功能 | – | 不支持 |
| 配置AP内置蓝牙模块的广播周期 | – | 不支持 |
| 配置AP内置蓝牙模块的发射功率 | 支持配置AP内置蓝牙模块的发射功率,最大5db | 不支持 |
| 配置AP内置蓝牙模块的广播内容 | 包含iBeaon协议定义的UUID、Major、Minor和RSSI校准值 | 不支持 |
| 蓝牙Tag定位 | – | 不支持 |
| Wi-Fi终端定位 | 其中AirEngine x762和APx6x系列AP,仅支持单AP接入定位,不支持三点定位。 | 支持 |
| AP Ekahau tag定位功能 | – | 不支持 |
| 手动触发整网进行信道与功率分配 | 在开局或网络体验差时,管理员通过手动设置触发整网重新进行信道、带宽与功率分配。 | 支持 |
| 定时触发整网进行信道与功率分配 | 管理员可配置调优为定时模式,选择网络空闲时间点进行网络优化,进行信道、带宽与功率分配。 | 支持 |
| AP上线时自动选择信道和功率 | – | 支持 |
| 配置RTS-CTS | 支持RTS-CTS配置: 1) RTS-CTS模式,有cts-to-self 、 disable 、 rts-cts 3种模式 2)RTS-CTS门限 |
支持 |
| 配置国家/区码(802.11d) | – | 支持 |
| 国家码锁定功能 | – | 支持 |
| 高密AMC优化 | – | 不支持 |
| 组播速率自适应 | – | 不支持 |
| 检测AP与STA间的无线链路质量 | 检测AP与STA间的无线链路的连接信息,如信号强度、空口速率、发包时延。 | 支持 |
| 频谱扫描 | 频谱扫描生成扫描数据,用于非Wi-Fi识别及频谱图画图。AC可配置AP进行频谱扫描。 | 不支持 |
| 配置802.11n频段带宽 | 802.11n频段带宽设置范围:20M,40M+,40M-。 | 支持 |
| 802.11n无线传输速率自动选择 | 802.11n无线传输速率自动选择,1M~450M。 | 支持 |
| 配置802.11n A-MPDU开关和最大聚合长度 | – | 不支持 |
| 配置802.11ac空间流与MCS | – | 不支持 |
| 配置802.11ac的SGI功能开关 | – | 不支持 |
| 配置802.11ac A-MPDU开关和最大聚合长度 | – | 不支持 |
| 下行MU-MIMO | – | 不支持 |
| 802.11ax GI | – | 不支持 |
| DL OFDMA | – | 不支持 |
| 1024-QAM | 802.11ax 2.4G/5G支持1024-QAM | 不支持 |
| MU-MIMO(仅下行) | – | 不支持 |
| BSS Coloring | – | 不支持 |
| 配置Mesh功能的VAP | – | 不支持 |
| Mesh白名单模板数 | – | 不支持 |
| 配置WDS功能的VAP | – | 不支持 |
| 配置基于端口的MAC地址学习功能开关 | DBSS、BSS不支持。 | 不支持 |
| 配置基于VLAN的MAC地址学习功能开关 | – | 不支持 |
| IEEE 802.1ab | LLDP只应用于以太口(Eth、GE),不能应用于Eth-Trunk口(可以应用于Eth-Trunk成员口);不支持Eth-Trunk发现,Vlan发现,只支持链路发现 | 支持 |
| 配置ARP老化时间 | 默认是20分钟 | 不支持 |
| 配置路由式ARP Proxy | – | 不支持 |
| VLAN内的ARP Proxy | – | 不支持 |
| VLAN间的ARP Proxy | – | 不支持 |
| 普通VLAN和SuperVLAN的ARP Proxy | 支持普通VLAN和SuperVLAN的ARP Proxy功能,并提供该功能的开关 | 不支持 |
| 在接口上配置IP地址 | 掩码长度可配置,Loopback接口允许配置32位掩码的IP地址。 | 支持 |
| 处理请求类型的ICMP报文 | 1.不支持处理时间戳请求报文。 2.相关标准为RFC792,RFC950,RFC1256 |
支持 |
| VRRP主备备份方式 | 主端口下发虚MAC转发表项,实现用户的网关功能 | 不支持 |
| IGMP v3 Snooping(兼容v1/v2) | Fit AP不支持配置IGMP版本,因此Fit/Fat AP设置的默认版本为IGMPV3。 AC6605 GE/XGE/ETH-TRUNK不支持。 |
不支持 |
| 跨VLAN组播复制 | 每端口限制加入1个用户VLAN或组播VLAN。 一个端口上只支持一个用户VLAN,生成原则是是第一个发送report的用户VLAN,或者是第一个用户VLAN的静态表项。 | 不支持 |
| VLAN的IGMP Proxy功能 | AC6605 GE/XGE/ETH-TRUNK接口不支持。 | 不支持 |
| 支持CAPWAP控制通道DTLS加密 | CAPWAP控制通道通过DTLS加密,可进行ON状态、OFF状态、AUTO状态,缺省为AUTO状态: 1)配置ON状态,则默认需要进行隧道级加密 2)配置OFF状态,则默认隧道级不加密,若涉及敏感信息由业务自行加密 3)配置AUTO状态,则进行自动协商,若CAPWAP server和client同时支持控制面加密卸载转发功能,则自动协商ON,否则协商为OFF状态 |
不支持 |
| 支持CAPWAP数据通道DTLS协商 | CAPWAP数据通道使能DTLS加密,进行密钥协商 | 不支持 |
| 支持CAPWAP数据通道DTLS加密 | 支持CAPWAP数据通道的DTLS硬件加密。 | 不支持 |
