Картинка

БЛОГ про

все цікаве у світі телекомунікацій

Є контролер - немає проблем: як з легкістю підтримувати роботу бездротової мережі

2020-07-27
Автор: Телесфера

У 2019 консалтингова компанія Miercom провела незалежну технологічну оцінку Wi-Fi 6 контролерів Cisco Catalyst серії 9800. Для даного дослідження було зібрано тестовий стенд з контролерів і точок доступу Wi-Fi 6 від Cisco, і була проведена оцінка технічного рішення в наступних категоріях:

  • Доступність;
  • Безпека;
  • Автоматизація.

Результати дослідження наведені нижче. З 2019 року функціонал контролерів Cisco Catalyst серії 9800 був істотно покращений - ці моменти також знайшли відображення в даній статті.

Огляд рішення

Wi-Fi 6 контролери Cisco Catalyst серії 9800

Серія бездротових контролерів Cisco Catalyst серії 9800 на базі операційної системи IOS-XE (яка також використовується для комутаторів і маршрутизаторів Cisco) пропонується в різних варіантах.

Старша модель контролера 9800-80 підтримує пропускну здатність бездротової мережі до 80 Гбіт/с. Один контролер 9800-80 підтримує до 6000 точок доступу і до 64 000 бездротових клієнтів.

Модель середнього рівня - контролер 9800-40 - підтримує пропускну здатність до 40 Гбіт/с, до 2000 точок доступу і до 32 000 бездротових клієнтів.

На додаток до цих моделей в конкурентний аналіз також увійшов бездротової контролер 9800-CL (CL означає Cloud). Модель 9800-CL працює в віртуальних середовищах на гіпервізорах VMWare ESXI і KVM, а його характеристики залежать від виділених ресурсів обладнання для віртуальної машини контролера. У максимальній конфігурації контролер Cisco 9800-CL так само, як і старша модель 9800-80, підтримує масштабованість до 6000 точок доступу і до 64 000 бездротових клієнтів.

При проведенні дослідження з контролерами використовувалися точки доступу Cisco Aironet AP серії 4800, що підтримують роботу на частотах 2,4 і 5 ГГц з можливістю динамічного перемикання в режим dual 5-GHz.

Тестовий стенд

В рамках тестування був зібраний стенд з двох бездротових контролерів Cisco Catalyst 9800-CL, що працюють в кластері, і точок доступу Cisco Aironet AP серії 4800.

У якості клієнтських пристроїв використовувалися ноутбуки компаній Dell і Apple, а також смартфон Apple iPhone.

Тестування доступності

Доступність визначається як здатність користувачів отримувати доступ до системи або послуги і використовувати їх. Висока доступність має на увазі безперервний доступ до системи або послуги, що не залежить від тих чи інших подій.

Висока доступність була протестована в чотирьох сценаріях, перші три сценарії - це передбачувані або заплановані події, які можуть проводитися в робочий чи неробочий час. П'ятий сценарій - це класичний збій, який є непередбачуваною подією.

Опис сценаріїв:

  • Виправлення помилок - мікрооновлення системи (bugfix або security patch), яке дозволяє виправити ту чи іншу помилку, або вразливість без повного оновлення системного ПЗ;
  • Функціональне оновлення - додавання або розширення поточного функціоналу системи шляхом установки функціональних оновлень;
  • Повне оновлення - оновлення образу ПЗ контролера;
  • Додавання точки доступу - додавання нової моделі точки доступу до бездротової мережі без необхідності перенастроювання або оновлення програмного забезпечення бездротового контролера;
  • Збій-відмова бездротового контролера.

Виправлення помилок і вразливостей

Найчастіше в багатьох конкурентних рішеннях установка виправлень вимагає повного оновлення програмного забезпечення системи бездротового контролера, що може привести до незапланованих простоїв. У разі рішення від Cisco установка виправлень виконується без зупинки продуктиву. Виправлення можуть бути встановлені на будь-який з компонентів, в той час як бездротова інфраструктура продовжує працювати.

Сама по собі процедура досить проста. Файл виправлення копіюється в папку початкового завантаження на одному з бездротових контролерів Cisco, а потім через графічний інтерфейс або командний рядок виконується підтвердження операції. Крім того, через графічний інтерфейс або командний рядок можна ще скасувати і видалити виправлення, теж без переривання роботи системи.

Функціональне оновлення

Функціональні оновлення ПЗ застосовуються для активації нових функцій. Одним з таких удосконалень є оновлення бази даних сигнатур додатків. Цей пакет був встановлений в контролерах Cisco в якості тесту. Так само, як і в випадку з виправленнями, оновлення функцій застосовується, встановлюється або віддаляється без простою або переривання роботи системи.

Повне оновлення

На даний момент повне оновлення образу ПЗ контролера виконується так само, як і функціональне, тобто, без простоїв. Однак ця можливість доступна тільки в кластерній конфігурації, коли контролерів більш одного. Повне оновлення виконується послідовно: спочатку на одному контролері, потім на другому.

Додавання нової моделі точки доступу

Підключення нових точок доступу, які раніше не експлуатувалися з використовуваним образом ПЗ контролера, до бездротової мережі є досить частою операцією, особливо в великих мережах (аеропорти, готелі, виробництва). Досить часто в рішеннях конкурентів ця операція потребує оновлення системного ПЗ або перезавантаження контролерів.

У процесі підключення нових точок доступу Wi-Fi 6 до кластеру контролерів Cisco Catalyst серії 9800 подібних проблем не спостерігається. Підключення нових точок до контролера проводиться без оновлення програмного забезпечення контролера, і цей процес не вимагає перезавантаження, таким чином ніяк не впливаючи на бездротову мережу.

Відмова контролера

У тестовому середовищі використовуються два контролера (Active/StandBy) Wi-Fi 6 і точка доступу має пряме підключення до обох контролерів.

Один бездротовий контролер є активним, а інший, відповідно, резервним. При збої активного контролера управління приймає на себе резервний контролер, і його статус змінюється на активний. Дана процедура відбувається без переривання для точки доступу та Wi-Fi для клієнтів.

Безпека

У цьому розділі розглядаються аспекти забезпечення безпеки, яка в бездротових мережах є вкрай актуальним завданням. Безпека рішення оцінюється за такими характеристиками:

  • Розпізнавання додатків;
  • Відстеження потоку трафіку (Flow tracking);
  • Аналіз зашифрованого трафіку;
  • Виявлення та запобігання вторгнень;
  • Засоби аутентифікації;
  • Засоби захисту клієнтських пристроїв.

Розпізнавання додатків

Серед різноманітних продуктів на ринку корпоративного і промислового Wi-Fi існують відмінності в тому, наскільки добре продукти ідентифікують трафік згідно з додатками. Продукти різних виробників можуть ідентифікувати різну кількість додатків. При цьому багато з додатків, які вказані у конкурентних рішеннях як можливі для ідентифікації, по суті, є веб-сайтами, а не унікальними програмами.

Є ще одна цікава особливість розпізнавання додатків: рішення сильно розрізняються по точності ідентифікації.

Беручи до уваги усі проведені тести, можна відповідально заявити, що Wi-Fi-6 рішення Cisco розпізнавання додатків виконує дуже точно: були точно визначені Jabber, Netflix, Dropbox, YouTube та інші популярні додатки, а також веб-сервіси. Також рішення Cisco можуть глибше зануритися в пакети даних за допомогою DPI (Deep Packet Inspection).

Відстеження потоків трафіку

Було проведено ще один тест, щоб з'ясувати, чи може система точно відстежувати і повідомляти про потоки даних (наприклад, про переміщення великих файлів). Щоб перевірити це, по мережі був відправлений файл розміром 6,5 мегабайт за протоколом передачі файлів (FTP).

Рішення Cisco повністю впоралося з завданням і змогло відстежити цей трафік завдяки NetFlow і своїм апаратним можливостям. Трафік був виявлений і ідентифікований негайно з точним обсягом переданих даних.

Аналіз зашифрованого трафіку

Трафік призначених для користувача даних все частіше шифрується. Це робиться для того, щоб захистити його від відстеження або перехоплення зловмисниками. Але разом з цим хакери все частіше використовують шифрування, щоб приховати свою шкідливу програму і проводити інші сумнівні операції, такі як Man-in-the-Middle (MiTM) або, наприклад, атаки з використанням кейлогінга.

Більшість підприємств перевіряють частину зашифрованого трафіку, спочатку розшифровуючи його за допомогою міжмережевих екранів або систем запобігання вторгнень. Але цей процес займає багато часу і не йде на користь продуктивності мережі в цілому. Крім того, після розшифровки ці дані стають уразливими для цікавих очей.

Контролери Cisco Catalyst серії 9800 успішно вирішують завдання аналізу зашифрованого трафіку іншими засобами. Рішення носить назву Encrypted Traffic Analytics (ETA). ETA - це технологія, аналогів якої у конкурентних рішень на даний момент немає і яка виявляє шкідливе ПЗ в зашифрованому трафіку без необхідності його дешифрування. ETA - це базова функція IOS-XE, яка включає в себе Enhanced NetFlow і використовує розширені поведінкові алгоритми для виявлення шкідливих моделей трафіку, які переховуються в зашифрованому трафіку.

ETA не дешифрує повідомлення, а збирає профілі метаданих зашифрованих потоків трафіку - розмір пакетів, тимчасові проміжки між пакетами і багато іншого. Потім метадані експортуються в записах NetFlow v9 в Cisco Stealthwatch.

Ключовою функцією Stealthwatch є постійний моніторинг трафіку, а також створення базових показників штатної мережевої активності. За допомогою метаданих зашифрованого потоку, відправлених йому ETA, Stealthwatch застосовує багаторівневе машинне навчання для виявлення поведінкових аномалій трафіку, які можуть вказувати на підозрілі події.

У минулому році компанія Cisco привернула Miercom для незалежної оцінки рішення Cisco Encrypted Traffic Analytics. В ході цієї оцінки Miercom окремо відправляв відомі і невідомі загрози (віруси, трояни, програми-вимагачі) в зашифрованому і незашифрованому трафіку через великі ETA і не-ETA мережі, щоб визначити загрози.

Для тестування був запущений шкідливий код в обох мережах. В обох випадках із підозрілою активністю поступово виявлялася. У ETA-мережі на початковому етапі загрози виявлялися на 36% швидше, ніж в не-ETA мережі. При цьому по ходу роботи продуктивність виявлення в ETA-мережі стала збільшуватися. У підсумку після декількох годин роботи в ETA-мережі були успішно виявлені дві третини активних загроз, що вдвічі більше аналогічного показника в не-ETA-мережі.

Функціонал ETA добре інтегрований з Stealthwatch. Загрози ранжуються за ступенем серйозності, відображаються з докладною інформацією, а також з варіантами дій щодо виправлення після підтвердження. Висновок - ETA працює!

Виявлення та запобігання вторгнень

Зараз у Cisco є ще один ефективний інструмент для забезпечення безпеки - Cisco Advanced Wireless Intrusion Prevention System (aWIPS): механізм виявлення і запобігання загрозам для бездротових мереж. Рішення aWIPS працює на рівні контролерів, точок доступу і ПЗ управління Cisco DNA Center. Процес виявлення, оповіщення та запобігання загрозам об'єднує в собі аналіз мережевого трафіку, інформацію про мережеві пристрої і мережевої топології, методи на основі сигнатур і виявлення аномалій, що в підсумку забезпечує високу точність і запобігання загрозам бездротової мережі.

Повна інтеграція aWIPS в мережеву інфраструктуру дозволяє безперервно відстежувати бездротовий трафік як в дротяних, так і в бездротових мережах і використовувати його для автоматичного аналізу потенційних атак з багатьох джерел, щоб максимально комплексно визначати і запобігати можливим атакам.

Засоби аутентифікації

На даний момент крім класичних засобів аутентифікації в рішеннях Cisco Catalyst серії 9800 доступна підтримка WPA3. WPA3 - це остання версія WPA, що представляє собою набір протоколів і технологій, що забезпечують аутентифікацію і шифрування для мереж Wi-Fi.

WPA3 використовує метод одночасної аутентифікації рівноправних елементів (SAE - Simultaneous Authentication of Equals) для забезпечення найбільш надійного захисту користувачів від спроб підбору пароля третіми особами. Коли клієнт підключається до точки доступу, він виконує обмін SAE. У разі успіху кожен з них створить криптографічно надійний ключ, з якого буде отримано ключ сеансу, а далі вони переходять в стан підтвердження. Після цього клієнт і точка доступу можуть переходити в стан підтвердження кожного разу, коли потрібно згенерувати ключ сеансу. Метод використовує пряму секретність, при якій зловмисник може зламати один ключ, але не всі інші ключі.

Тобто SAE побудований таким чином, що у зловмисника, що перехоплює трафік, є тільки одна спроба вгадати пароль, перш ніж перехоплені дані стануть марні. Для організації тривалого підбору пароля буде потрібно фізичний доступ до точки доступу.

Засоби захисту клієнтських пристроїв

Основним засобом захисту клієнтів в бездротових рішеннях Cisco Catalyst серії 9800 в даний час є Cisco Umbrella WLAN - хмарна служба мережевої безпеки, що працює на рівні DNS з автоматичним виявленням як відомих, так і нових загроз.

Cisco Umbrella WLAN забезпечує клієнтським пристроям захищене підключення до Інтернету. Це досягається за допомогою фільтрації контенту, тобто за допомогою блокування доступу до ресурсів в мережі Інтернет відповідно до політики підприємства. Таким чином, виконується захист клієнтських пристроїв в інтернеті від шкідливого ПЗ, програм-вимагачів, фішингу. Застосування політик засноване на 60-ти безперервно оновлюваних категоріях контенту.

Автоматизація

Сучасні бездротові мережі набагато більш гнучкі і складні, тому традиційних способів настройки і вилучення інформації з бездротових контролерів недостатньо. Мережевим адміністраторам і фахівцям з інформаційної безпеки потрібні інструменти для автоматизації та аналітики, що спонукає виробників рішень для бездротових мереж пропонувати такі інструменти.

Для вирішення цих завдань в бездротових контролерах Cisco Catalyst серії 9800 разом з традиційним API передбачена підтримка протоколу конфігурації мережі RESTCONF/NETCONF з мовою моделювання даних YANG (Yet Another Next Generation).

NETCONF - це протокол на основі XML, який додатки можуть використовувати для запиту інформації і зміни конфігурації мережевих пристроїв, таких, як бездротові контролери.

На додаток до цих методів в контролерах Cisco Catalyst серії 9800 реалізована можливість отримання, вибірки і аналізу даних про потік інформації за допомогою протоколу NetFlow і sFlow.

Для забезпечення безпеки і для моделювання трафіку можливість відстежувати конкретні потоки є цінним інструментом. Для вирішення цього завдання був реалізований протокол sFlow, який дозволяє захоплювати два пакети з кожних ста. Однак іноді цього може бути недостатньо для аналізу і адекватного вивчення і оцінки потоку. Тому альтернативою є NetFlow, реалізований компанією Cisco, який дозволяє на 100% збирати і експортувати всі пакети в зазначеному потоці для подальшого аналізу.

Ще однією функцією, правда, доступною тільки в апаратній реалізації контролерів, яка дозволяє автоматизувати роботу бездротової мережі в контролерах Cisco Catalyst серії 9800, є вбудована підтримка мови Python як надбудова для використання скриптів прямо на самому бездротовому контролері.

І, нарешті, для операцій моніторингу та управління в контролерах Cisco Catalyst серії 9800 підтримується перевірений часом протокол SNMP версій 1, 2 і 3.

Таким чином, в ключі автоматизації рішення Cisco Catalyst серії 9800 повністю відповідають сучасним вимогам бізнесу, пропонуючи як нові і унікальні, так і перевірені часом інструменти для автоматизованого виконання операцій і аналітики в бездротових мережах будь-якого розміру і складності.

Висновок

У рішеннях на базі контролерів Cisco Catalyst серії 9800 компанія Cisco продемонструвала відмінні результати в категоріях: висока доступність, безпека і автоматизація.

Рішення повністю задовольняє всім вимогам високої доступності, таким як аварійне перемикання менш ніж за секунду під час незапланованих подій і нульовий час простою для запланованих подій.

У контролерах Cisco Catalyst серії 9800 реалізований комплексний захист, що забезпечує глибоку перевірку пакетів для розпізнавання додатків і управління ними, повну прозорість потоків даних і ідентифікацію загроз, прихованих в зашифрованому трафіку, а також застосовуються передові механізми аутентифікації і захисту клієнтських пристроїв.

Для автоматизації операцій і аналітики рішення Cisco Catalyst серії 9800 мають широкі можливості, використовуючи популярні стандартні моделі: YANG, NETCONF, RESTCONF, традиційні API-інтерфейси і вбудовані скрипти Python.

Таким чином компанія Cisco в черговий раз підтверджує свій статус провідного світового виробника мережевих рішень, що йде в ногу з часом і враховує всі виклики сучасного бізнесу.

Джерело: https://habr.com/ru/company/cisco/blog/512220/


Про компанію Телесфера Інтеграція.

Телесфера Інтеграція заснована в 2012 році та являється інтегратором новітніх технологічних рішень для бізнесу.  Ми розробляємо рішення, що роблять Ваш бізнес успішним.

Основні напрямки роботи компанії:

  • Побудова локальних обчислювальних мереж;
  • Налаштування мережевого обладнання передових виробників (Cisco Systems, Aruba Networks та інших);
  • Продаж телекомунікаційного обладнання;
  • Аудит локальних обчислювальних мереж;

e-mail: office@telesphera.net
Телефон: (093) 198-11-82

КОММЕНТАРІ ДО СТАТТІ

Штучний інтелект: великі перспективи або межа можливостей?

Штучний інтелект: великі перспективи або межа можливостей?
новини,Налаштування,IoT,Послуги Телесфера Інтеграція,Продуктивність

Інтерес до високих технологій в сучасному світі подібний ринковим циклам і порами року. Підвищені очікування, які підігріваються рекламою і ентузіазмом вчених, змінюються прохолодним скепсисом. На думку деяких фахівців, технології штучного інтелекту переживають період спаду. Скептики стверджують, що перспективи цієї галузі були перебільшені, а грандіозні обіцянки, які вже здавалися реальністю, не виконані.

Webex розширює можливості безпечного дистанційного навчання

Webex розширює можливості безпечного дистанційного навчання
Cisco,Cisco Network,cisco,новини,Налаштування Cisco

Група спільної роботи Cisco Collaboration анонсувала нововведення рішення Webex Classrooms, яке доповнює захищену платформу Cisco для онлайн-навчання при комбінованому навчанні.

Aruba представила точку доступу Wi-Fi 6 для малого бізнесу

Aruba представила точку доступу Wi-Fi 6 для малого бізнесу
Aruba Networks,Налаштування Aruba,Налаштування Aruba Instant,новини,Wi-Fi

Компанія Aruba представила нову точку доступу Wi-Fi 6 (802.11ax), розроблену спеціально з урахуванням потреб малого бізнесу. Як зазначається, нова сертифікована Wi-Fi CERTIFIED 6TM точка доступу Aruba Instant On AP22 дає блискавичну швидкість бездротового зв'язку, зниження ризику перебоїв підключення і розширені функції безпеки Wi-Fi 6.