Het 'n beheerder - geen probleem nie: hoe om 'n draadlose netwerk maklik te onderhou

Die konsultasiemaatskappy Miercom het in 2019 'n onafhanklike tegnologiese assessering gedoen van Wi-Fi 6-beheerders van die Cisco Catalyst 9800-reeks. Vir hierdie studie is 'n toetsbank saamgestel uit Cisco Wi-Fi 6-beheerders en toegangspunte, en die tegniese oplossing was geassesseer in die volgende kategorieë:

• Beskikbaarheid;
• sekuriteit;
• Outomatisering.

Die resultate van die studie word hieronder getoon. Sedert 2019 is die funksionaliteit van die Cisco Catalyst 9800-reeksbeheerders aansienlik verbeter - hierdie punte word ook in hierdie artikel weerspieël.

U kan lees oor ander voordele van Wi-Fi 6-tegnologie, voorbeelde van implementering en toepassingsareas hier.

Oplossing oorsig

Wi-Fi 6 beheerders Cisco Catalyst 9800-reeks

Die Cisco Catalyst 9800-reeks draadlose beheerders, gebaseer op die IOS-XE-bedryfstelsel (ook gebruik vir Cisco-skakelaars en routers), is beskikbaar in 'n verskeidenheid opsies.

Die ouer model van die 9800-80 kontroleerder ondersteun draadlose netwerk deurset tot 80 Gbps. Een 9800-80-beheerder ondersteun tot 6000 64 toegangspunte en tot 000 XNUMX draadlose kliënte.

Die middelreeksmodel, die 9800-40-beheerder, ondersteun tot 40 Gbps deurset, tot 2000 32 toegangspunte en tot 000 XNUMX draadlose kliënte.

Benewens hierdie modelle, het die mededingende ontleding ook die 9800-CL draadlose kontroleerder ingesluit (CL staan ​​vir Cloud). Die 9800-CL loop in virtuele omgewings op VMWare ESXI en KVM hipervisors, en sy werkverrigting is afhanklik van die toegewyde hardeware hulpbronne vir die beheerder virtuele masjien. In sy maksimum konfigurasie ondersteun die Cisco 9800-CL-beheerder, soos die ouer model 9800-80, skaalbaarheid tot 6000 64 toegangspunte en tot 000 XNUMX draadlose kliënte.

Wanneer navorsing met beheerders gedoen is, is Cisco Aironet AP 4800-reeks toegangspunte gebruik, wat werking by frekwensies van 2,4 en 5 GHz ondersteun met die vermoë om dinamies na dubbele 5-GHz-modus oor te skakel.

toetsbank

As deel van die toetsing is 'n staander saamgestel uit twee Cisco Catalyst 9800-CL draadlose beheerders wat in 'n groep werk en Cisco Aironet AP 4800-reeks toegangspunte.

Skootrekenaars van Dell en Apple, sowel as 'n Apple iPhone-slimfoon, is as kliënttoestelle gebruik.

Toeganklikheidtoetsing

Beskikbaarheid word gedefinieer as die vermoë van gebruikers om toegang tot 'n stelsel of diens te verkry en dit te gebruik. Hoë beskikbaarheid impliseer deurlopende toegang tot 'n stelsel of diens, onafhanklik van sekere gebeurtenisse.

Hoë beskikbaarheid is in vier scenario's getoets, die eerste drie scenario's is voorspelbare of geskeduleerde gebeure wat tydens of na besigheidsure kan plaasvind. Die vyfde scenario is 'n klassieke mislukking, wat 'n onvoorspelbare gebeurtenis is.

Beskrywing van scenario's:

• Foutregstelling – 'n mikro-opdatering van die stelsel (foutoplossing of sekuriteitspleister), wat jou toelaat om 'n spesifieke fout of kwesbaarheid reg te stel sonder 'n volledige opdatering van die stelselsagteware;
• Funksionele opdatering – byvoeging of uitbreiding van die huidige funksionaliteit van die stelsel deur funksionele opdaterings te installeer;
• Volledige opdatering – werk die beheerdersagtewarebeeld op;
• Voeg 'n toegangspunt by – voeg 'n nuwe toegangspuntmodel by 'n draadlose netwerk sonder dat dit nodig is om die draadlose beheerdersagteware te herkonfigureer of op te dateer;
• Mislukking—mislukking van die draadlose beheerder.

Regstelling van foute en kwesbaarhede

Dikwels, met baie mededingende oplossings, vereis pleistering 'n volledige sagteware-opdatering van die draadlose beheerderstelsel, wat tot onbeplande stilstand kan lei. In die geval van die Cisco-oplossing word pleistering uitgevoer sonder om die produk te stop. Patches kan op enige van die komponente geïnstalleer word terwyl die draadlose infrastruktuur aanhou werk.

Die prosedure self is redelik eenvoudig. Die pleisterlêer word na die selflaai-lêergids op een van die Cisco-draadlose beheerders gekopieer, en die bewerking word dan via die GUI of opdragreël bevestig. Daarbenewens kan jy ook die regstelling ongedaan maak en verwyder via die GUI of opdragreël, ook sonder om die werking van die stelsel te onderbreek.

Funksionele opdatering

Funksionele sagteware-opdaterings word toegepas om nuwe kenmerke te aktiveer. Een van hierdie verbeterings is die opdatering van die toepassingshandtekeningdatabasis. Hierdie pakket is as 'n toets op Cisco-beheerders geïnstalleer. Net soos met pleisters, word kenmerkopdaterings toegepas, geïnstalleer of verwyder sonder enige stilstand of stelselonderbreking.

Volledige opdatering

Op die oomblik word 'n volledige opdatering van die beheerdersagtewarebeeld op dieselfde manier as 'n funksionele opdatering uitgevoer, dit wil sê sonder stilstand. Hierdie kenmerk is egter slegs beskikbaar in 'n groepkonfigurasie wanneer daar meer as een beheerder is. 'n Volledige opdatering word opeenvolgend uitgevoer: eers op een kontroleerder, dan op die tweede.

Voeg 'n nuwe toegangspuntmodel by

Om nuwe toegangspunte, wat nie voorheen met die beheerdersagtewarebeeld gebruik is nie, aan 'n draadlose netwerk te koppel, is 'n redelik algemene operasie, veral in groot netwerke (lughawens, hotelle, fabrieke). Dikwels in mededingeroplossings vereis hierdie bewerking dat die stelselsagteware opgedateer word of die beheerders herlaai.

Wanneer nuwe Wi-Fi 6-toegangspunte aan 'n groep Cisco Catalyst 9800-reeksbeheerders gekoppel word, word geen sulke probleme waargeneem nie. Die koppeling van nuwe punte aan die beheerder word uitgevoer sonder om die beheerdersagteware op te dateer, en hierdie proses vereis nie 'n herselflaai nie, en beïnvloed dus nie die draadlose netwerk op enige manier nie.

Beheerder mislukking

Die toetsomgewing gebruik twee Wi-Fi 6-beheerders (Aktief/StandBy) en die toegangspunt het 'n direkte verbinding met albei beheerders.

Een draadlose beheerder is aktief, en die ander, onderskeidelik, is rugsteun. As die aktiewe beheerder misluk, neem die rugsteunbeheerder oor en sy status verander na aktief. Hierdie prosedure vind plaas sonder onderbreking vir die toegangspunt en Wi-Fi vir kliënte.

sekuriteit

Hierdie afdeling bespreek aspekte van sekuriteit, wat 'n uiters dringende kwessie in draadlose netwerke is. Die sekuriteit van die oplossing word beoordeel op grond van die volgende eienskappe:

• Aansoekerkenning;
• Vloeiopsporing;
• Ontleding van geïnkripteer verkeer;
• Indringing opsporing en voorkoming;
• Stawing beteken;
• Gereedskap vir die beskerming van kliënttoestelle.

Aansoek erkenning

Onder die verskeidenheid produkte in die ondernemings- en industriële Wi-Fi-mark is daar verskille in hoe goed die produkte verkeer volgens toepassing identifiseer. Produkte van verskillende vervaardigers kan verskillende aantal toepassings identifiseer. Baie van die toepassings wat mededingende oplossings as moontlik vir identifikasie lys, is egter in werklikheid webwerwe, en nie unieke toepassings nie.

Daar is nog 'n interessante kenmerk van toepassingsherkenning: oplossings verskil baie in identifikasie-akkuraatheid.

Met inagneming van al die toetse wat uitgevoer is, kan ons verantwoordelik verklaar dat Cisco se Wi-Fi-6-oplossing toepassingsherkenning baie akkuraat uitvoer: Jabber, Netflix, Dropbox, YouTube en ander gewilde toepassings, sowel as webdienste, is akkuraat geïdentifiseer. Cisco-oplossings kan ook dieper in datapakkies duik deur DPI (Deep Packet Inspection) te gebruik.

Verkeersvloei dop

Nog 'n toets is uitgevoer om te sien of die stelsel datavloei (soos groot lêerbewegings) akkuraat kan opspoor en rapporteer. Om dit te toets, is 'n 6,5 megagreep-lêer oor die netwerk gestuur met behulp van File Transfer Protocol (FTP).

Die Cisco-oplossing was ten volle opgewasse vir die taak en kon hierdie verkeer opspoor danksy NetFlow en sy hardeware-vermoëns. Verkeer is opgespoor en onmiddellik geïdentifiseer met die presiese hoeveelheid data wat oorgedra is.

Geënkripteerde verkeersanalise

Gebruikersdataverkeer word toenemend geïnkripteer. Dit word gedoen om te beskerm dat dit nie deur aanvallers opgespoor of onderskep word nie. Maar terselfdertyd gebruik kuberkrakers toenemend enkripsie om hul wanware weg te steek en ander twyfelagtige bewerkings uit te voer soos Man-in-the-Middle (MiTM) of keylogging-aanvalle.

Die meeste besighede inspekteer sommige van hul geënkripteerde verkeer deur dit eers te dekripteer met behulp van firewalls of inbraakvoorkomingstelsels. Maar hierdie proses neem baie tyd en bevoordeel nie die werkverrigting van die netwerk as geheel nie. Daarbenewens, sodra dit gedekripteer is, word hierdie data kwesbaar vir gierige oë.

Cisco Catalyst 9800-reeks beheerders los die probleem suksesvol op om geïnkripteer verkeer op ander maniere te ontleed. Die oplossing word Encrypted Traffic Analytics (ETA) genoem. ETA is 'n tegnologie wat tans geen analoë in mededingende oplossings het nie en wat wanware in geënkripteerde verkeer opspoor sonder dat dit nodig is om dit te dekripteer. ETA is 'n kernkenmerk van IOS-XE wat Verbeterde NetFlow insluit en gebruik gevorderde gedragsalgoritmes om kwaadwillige verkeerspatrone te identifiseer wat in geënkripteerde verkeer skuil.

ETA dekripteer nie boodskappe nie, maar versamel metadataprofiele van geënkripteerde verkeersvloeie – pakkiegrootte, tydintervalle tussen pakkies, en nog baie meer. Die metadata word dan in NetFlow v9-rekords na Cisco Stealthwatch uitgevoer.

Die sleutelfunksie van Stealthwatch is om voortdurend verkeer te monitor, sowel as om 'n basislyn van normale netwerkaktiwiteit te skep. Deur gebruik te maak van geënkripteerde stroom-metadata wat deur die ETA aan hom gestuur is, pas Stealthwatch meerlaagse masjienleer toe om gedragsverkeersafwykings te identifiseer wat verdagte gebeurtenisse kan aandui.

Verlede jaar het Cisco Miercom betrek om sy Cisco Encrypted Traffic Analytics-oplossing onafhanklik te evalueer. Tydens hierdie assessering het Miercom afsonderlik bekende en onbekende bedreigings (virusse, Trojans, losprysware) in geënkripteerde en ongeënkripteerde verkeer oor groot ETA- en nie-ETA-netwerke gestuur om bedreigings te identifiseer.

Vir toetsing is kwaadwillige kode op beide netwerke bekendgestel. In beide gevalle is verdagte aktiwiteit geleidelik ontdek. Die ETA-netwerk het aanvanklik bedreigings 36% vinniger opgespoor as die nie-ETA-netwerk. Terselfdertyd, soos die werk gevorder het, het die produktiwiteit van opsporing in die ETA-netwerk begin toeneem. Gevolglik is twee derdes van aktiewe bedreigings na etlike ure se werk suksesvol in die ETA-netwerk opgespoor, wat twee keer soveel is as in die nie-ETA-netwerk.

ETA-funksionaliteit is goed geïntegreer met Stealthwatch. Bedreigings word volgens erns gerangskik en vertoon met gedetailleerde inligting, sowel as herstelopsies sodra dit bevestig is. Gevolgtrekking – ETA werk!

Indringing opsporing en voorkoming

Cisco het nou nog 'n doeltreffende sekuriteitshulpmiddel - die Cisco Advanced Wireless Intrusion Prevention System (aWIPS): 'n meganisme om bedreigings vir draadlose netwerke op te spoor en te voorkom. Die aWIPS-oplossing werk op die vlak van beheerders, toegangspunte en Cisco DNA Center-bestuursagteware. Bedreigingsopsporing, waarskuwing en voorkoming kombineer netwerkverkeeranalise, netwerktoestel- en netwerktopologie-inligting, handtekeninggebaseerde tegnieke en anomalie-opsporing om hoogs akkurate en voorkombare draadlose bedreigings te lewer.

Deur aWIPS ten volle in jou netwerkinfrastruktuur te integreer, kan jy deurlopend draadlose verkeer op beide bedrade en draadlose netwerke monitor en dit gebruik om potensiële aanvalle van verskeie bronne outomaties te ontleed vir die mees omvattende opsporing en voorkoming van moontlike aanvalle.

Verifikasie beteken

Op die oomblik, bykomend tot klassieke verifikasie-instrumente, ondersteun Cisco Catalyst 9800-reeks oplossings WPA3. WPA3 is die nuutste weergawe van WPA, wat 'n stel protokolle en tegnologieë is wat stawing en enkripsie vir Wi-Fi-netwerke verskaf.

WPA3 gebruik Simultaneous Authentication of Equals (SAE) om gebruikers die sterkste beskerming te bied teen wagwoordraaipogings deur derde partye. Wanneer 'n kliënt aan 'n toegangspunt koppel, voer dit 'n SAE-uitruiling uit. As dit suksesvol is, sal elkeen van hulle 'n kriptografies sterk sleutel skep waaruit die sessiesleutel afgelei sal word, en dan sal hulle die bevestigingstoestand betree. Die kliënt en toegangspunt kan dan handdruktoestande betree elke keer as 'n sessiesleutel gegenereer moet word. Die metode gebruik voorwaartse geheimhouding, waarin 'n aanvaller een sleutel kan kraak, maar nie alle ander sleutels nie.

Dit wil sê, SAE is so ontwerp dat 'n aanvaller wat verkeer onderskep net een poging het om die wagwoord te raai voordat die onderskepte data nutteloos word. Om 'n lang wagwoordherwinning te organiseer, sal jy fisiese toegang tot die toegangspunt nodig hê.

Kliënttoestelbeskerming

Cisco Catalyst 9800-reeks draadlose oplossings bied tans die primêre kliëntbeskermingsfunksie deur Cisco Umbrella WLAN, 'n wolkgebaseerde netwerksekuriteitsdiens wat op die DNS-vlak funksioneer met outomatiese opsporing van beide bekende en opkomende bedreigings.

Cisco Umbrella WLAN voorsien kliënttoestelle met 'n veilige verbinding met die internet. Dit word bereik deur inhoudfiltrering, dit wil sê deur toegang tot hulpbronne op die internet te blokkeer in ooreenstemming met ondernemingsbeleid. Kliënttoestelle op die internet word dus beskerm teen wanware, losprysware en uitvissing. Beleidstoepassing is gebaseer op 60 inhoudkategorieë wat voortdurend bygewerk word.

outomatisering

Vandag se draadlose netwerke is baie meer buigsaam en kompleks, so tradisionele metodes om inligting van draadlose beheerders op te stel en te herwin is nie genoeg nie. Netwerkadministrateurs en inligtingsekuriteitspersoneel benodig gereedskap vir outomatisering en analise, wat verskaffers van draadlose netwerke aanspoor om sulke gereedskap aan te bied.

Om hierdie probleme op te los, bied die Cisco Catalyst 9800-reeks draadlose beheerders, saam met die tradisionele API, ondersteuning vir die RESTCONF / NETCONF-netwerkkonfigurasieprotokol met die YANG (Yet Another Next Generation) datamodelleringstaal.

NETCONF is 'n XML-gebaseerde protokol wat toepassings kan gebruik om inligting te bevraagteken en die konfigurasie van netwerktoestelle soos draadlose beheerders te verander.

Benewens hierdie metodes, bied die Cisco Catalyst 9800-reeksbeheerders die vermoë om inligtingvloeidata vas te lê, op te haal en te ontleed deur gebruik te maak van die NetFlow- en sFlow-protokolle.

Vir sekuriteit en verkeersmodellering is die vermoë om spesifieke vloeie op te spoor 'n waardevolle hulpmiddel. Om hierdie probleem op te los, is die sFlow-protokol geïmplementeer, wat jou toelaat om twee pakkies uit elke honderd te vang. Soms is dit egter dalk nie genoeg om die vloei te ontleed en voldoende te bestudeer en te evalueer nie. Daarom is 'n alternatief NetFlow, geïmplementeer deur Cisco, wat jou toelaat om 100% alle pakkies in 'n gespesifiseerde vloei te versamel en uit te voer vir daaropvolgende ontleding.

Nog 'n kenmerk wat egter slegs beskikbaar is in die hardeware-implementering van die beheerders, wat jou toelaat om die werking van die draadlose netwerk in die Cisco Catalyst 9800-reeks beheerders te outomatiseer, is ingeboude ondersteuning vir die Python-taal as 'n byvoeging vir gebruik skrifte direk op die draadlose kontroleerder self.

Laastens ondersteun Cisco Catalyst 9800-reeksbeheerders die bewese SNMP-weergawe 1, 2 en 3-protokol vir monitering en bestuursbedrywighede.

Dus, in terme van outomatisering, voldoen Cisco Catalyst 9800-reeks oplossings ten volle aan moderne besigheidsvereistes, en bied beide nuwe en unieke, sowel as beproefde gereedskap vir outomatiese bedrywighede en analise in draadlose netwerke van enige grootte en kompleksiteit.

Gevolgtrekking

In oplossings gebaseer op die Cisco Catalyst 9800-reeksbeheerders, het Cisco uitstekende resultate getoon in die kategorieë van hoë beskikbaarheid, sekuriteit en outomatisering.

Die oplossing voldoen ten volle aan alle hoë beskikbaarheid vereistes soos sub-sekonde failover tydens onbeplande gebeure en geen stilstand vir geskeduleerde gebeure.

Die Cisco Catalyst 9800-reeksbeheerders bied omvattende sekuriteit wat diep pakkie-inspeksie bied vir toepassingsherkenning en beheer, volledige sigbaarheid in datavloei, en identifikasie van bedreigings wat in geënkripteerde verkeer versteek is, sowel as gevorderde verifikasie en sekuriteitsmeganismes vir kliënttoestelle.

Vir outomatisering en analise bied die Cisco Catalyst 9800-reeks kragtige vermoëns deur gewilde standaardmodelle te gebruik: YANG, NETCONF, RESTCONF, tradisionele API's en ingeboude Python-skrifte.

Cisco bevestig dus weereens sy status as die wêreld se voorste vervaardiger van netwerkoplossings, tred met die tyd en met inagneming van al die uitdagings van moderne besigheid.

Vir meer inligting oor die Catalyst-skakelaarfamilie, besoek Online cisco.

Bron: will.com

Die konsultasiemaatskappy Miercom het in 2019 'n onafhanklike tegnologiese assessering gedoen van Wi-Fi 6-beheerders van die Cisco Catalyst 9800-reeks. Vir hierdie studie is 'n toetsbank saamgestel uit Cisco Wi-Fi 6-beheerders en toegangspunte, en die tegniese oplossing was geassesseer in die volgende kategorieë:

• Beskikbaarheid;
• sekuriteit;
• Outomatisering.

Die resultate van die studie word hieronder getoon. Sedert 2019 is die funksionaliteit van die Cisco Catalyst 9800-reeksbeheerders aansienlik verbeter - hierdie punte word ook in hierdie artikel weerspieël.

U kan lees oor ander voordele van Wi-Fi 6-tegnologie, voorbeelde van implementering en toepassingsareas hier.

Oplossing oorsig

Wi-Fi 6 beheerders Cisco Catalyst 9800-reeks

Die Cisco Catalyst 9800-reeks draadlose beheerders, gebaseer op die IOS-XE-bedryfstelsel (ook gebruik vir Cisco-skakelaars en routers), is beskikbaar in 'n verskeidenheid opsies.

Die ouer model van die 9800-80 kontroleerder ondersteun draadlose netwerk deurset tot 80 Gbps. Een 9800-80-beheerder ondersteun tot 6000 64 toegangspunte en tot 000 XNUMX draadlose kliënte.

Die middelreeksmodel, die 9800-40-beheerder, ondersteun tot 40 Gbps deurset, tot 2000 32 toegangspunte en tot 000 XNUMX draadlose kliënte.

Benewens hierdie modelle, het die mededingende ontleding ook die 9800-CL draadlose kontroleerder ingesluit (CL staan ​​vir Cloud). Die 9800-CL loop in virtuele omgewings op VMWare ESXI en KVM hipervisors, en sy werkverrigting is afhanklik van die toegewyde hardeware hulpbronne vir die beheerder virtuele masjien. In sy maksimum konfigurasie ondersteun die Cisco 9800-CL-beheerder, soos die ouer model 9800-80, skaalbaarheid tot 6000 64 toegangspunte en tot 000 XNUMX draadlose kliënte.

Wanneer navorsing met beheerders gedoen is, is Cisco Aironet AP 4800-reeks toegangspunte gebruik, wat werking by frekwensies van 2,4 en 5 GHz ondersteun met die vermoë om dinamies na dubbele 5-GHz-modus oor te skakel.

toetsbank

As deel van die toetsing is 'n staander saamgestel uit twee Cisco Catalyst 9800-CL draadlose beheerders wat in 'n groep werk en Cisco Aironet AP 4800-reeks toegangspunte.

Skootrekenaars van Dell en Apple, sowel as 'n Apple iPhone-slimfoon, is as kliënttoestelle gebruik.

Toeganklikheidtoetsing

Beskikbaarheid word gedefinieer as die vermoë van gebruikers om toegang tot 'n stelsel of diens te verkry en dit te gebruik. Hoë beskikbaarheid impliseer deurlopende toegang tot 'n stelsel of diens, onafhanklik van sekere gebeurtenisse.

Hoë beskikbaarheid is in vier scenario's getoets, die eerste drie scenario's is voorspelbare of geskeduleerde gebeure wat tydens of na besigheidsure kan plaasvind. Die vyfde scenario is 'n klassieke mislukking, wat 'n onvoorspelbare gebeurtenis is.

Beskrywing van scenario's:

• Foutregstelling – 'n mikro-opdatering van die stelsel (foutoplossing of sekuriteitspleister), wat jou toelaat om 'n spesifieke fout of kwesbaarheid reg te stel sonder 'n volledige opdatering van die stelselsagteware;
• Funksionele opdatering – byvoeging of uitbreiding van die huidige funksionaliteit van die stelsel deur funksionele opdaterings te installeer;
• Volledige opdatering – werk die beheerdersagtewarebeeld op;
• Voeg 'n toegangspunt by – voeg 'n nuwe toegangspuntmodel by 'n draadlose netwerk sonder dat dit nodig is om die draadlose beheerdersagteware te herkonfigureer of op te dateer;
• Mislukking—mislukking van die draadlose beheerder.

Regstelling van foute en kwesbaarhede

Dikwels, met baie mededingende oplossings, vereis pleistering 'n volledige sagteware-opdatering van die draadlose beheerderstelsel, wat tot onbeplande stilstand kan lei. In die geval van die Cisco-oplossing word pleistering uitgevoer sonder om die produk te stop. Patches kan op enige van die komponente geïnstalleer word terwyl die draadlose infrastruktuur aanhou werk.

Die prosedure self is redelik eenvoudig. Die pleisterlêer word na die selflaai-lêergids op een van die Cisco-draadlose beheerders gekopieer, en die bewerking word dan via die GUI of opdragreël bevestig. Daarbenewens kan jy ook die regstelling ongedaan maak en verwyder via die GUI of opdragreël, ook sonder om die werking van die stelsel te onderbreek.

Funksionele opdatering

Funksionele sagteware-opdaterings word toegepas om nuwe kenmerke te aktiveer. Een van hierdie verbeterings is die opdatering van die toepassingshandtekeningdatabasis. Hierdie pakket is as 'n toets op Cisco-beheerders geïnstalleer. Net soos met pleisters, word kenmerkopdaterings toegepas, geïnstalleer of verwyder sonder enige stilstand of stelselonderbreking.

Volledige opdatering

Op die oomblik word 'n volledige opdatering van die beheerdersagtewarebeeld op dieselfde manier as 'n funksionele opdatering uitgevoer, dit wil sê sonder stilstand. Hierdie kenmerk is egter slegs beskikbaar in 'n groepkonfigurasie wanneer daar meer as een beheerder is. 'n Volledige opdatering word opeenvolgend uitgevoer: eers op een kontroleerder, dan op die tweede.

Voeg 'n nuwe toegangspuntmodel by

Om nuwe toegangspunte, wat nie voorheen met die beheerdersagtewarebeeld gebruik is nie, aan 'n draadlose netwerk te koppel, is 'n redelik algemene operasie, veral in groot netwerke (lughawens, hotelle, fabrieke). Dikwels in mededingeroplossings vereis hierdie bewerking dat die stelselsagteware opgedateer word of die beheerders herlaai.

Wanneer nuwe Wi-Fi 6-toegangspunte aan 'n groep Cisco Catalyst 9800-reeksbeheerders gekoppel word, word geen sulke probleme waargeneem nie. Die koppeling van nuwe punte aan die beheerder word uitgevoer sonder om die beheerdersagteware op te dateer, en hierdie proses vereis nie 'n herselflaai nie, en beïnvloed dus nie die draadlose netwerk op enige manier nie.

Beheerder mislukking

Die toetsomgewing gebruik twee Wi-Fi 6-beheerders (Aktief/StandBy) en die toegangspunt het 'n direkte verbinding met albei beheerders.

Een draadlose beheerder is aktief, en die ander, onderskeidelik, is rugsteun. As die aktiewe beheerder misluk, neem die rugsteunbeheerder oor en sy status verander na aktief. Hierdie prosedure vind plaas sonder onderbreking vir die toegangspunt en Wi-Fi vir kliënte.

sekuriteit

Hierdie afdeling bespreek aspekte van sekuriteit, wat 'n uiters dringende kwessie in draadlose netwerke is. Die sekuriteit van die oplossing word beoordeel op grond van die volgende eienskappe:

• Aansoekerkenning;
• Vloeiopsporing;
• Ontleding van geïnkripteer verkeer;
• Indringing opsporing en voorkoming;
• Stawing beteken;
• Gereedskap vir die beskerming van kliënttoestelle.

Aansoek erkenning

Onder die verskeidenheid produkte in die ondernemings- en industriële Wi-Fi-mark is daar verskille in hoe goed die produkte verkeer volgens toepassing identifiseer. Produkte van verskillende vervaardigers kan verskillende aantal toepassings identifiseer. Baie van die toepassings wat mededingende oplossings as moontlik vir identifikasie lys, is egter in werklikheid webwerwe, en nie unieke toepassings nie.

Daar is nog 'n interessante kenmerk van toepassingsherkenning: oplossings verskil baie in identifikasie-akkuraatheid.

Met inagneming van al die toetse wat uitgevoer is, kan ons verantwoordelik verklaar dat Cisco se Wi-Fi-6-oplossing toepassingsherkenning baie akkuraat uitvoer: Jabber, Netflix, Dropbox, YouTube en ander gewilde toepassings, sowel as webdienste, is akkuraat geïdentifiseer. Cisco-oplossings kan ook dieper in datapakkies duik deur DPI (Deep Packet Inspection) te gebruik.

Verkeersvloei dop

Nog 'n toets is uitgevoer om te sien of die stelsel datavloei (soos groot lêerbewegings) akkuraat kan opspoor en rapporteer. Om dit te toets, is 'n 6,5 megagreep-lêer oor die netwerk gestuur met behulp van File Transfer Protocol (FTP).

Die Cisco-oplossing was ten volle opgewasse vir die taak en kon hierdie verkeer opspoor danksy NetFlow en sy hardeware-vermoëns. Verkeer is opgespoor en onmiddellik geïdentifiseer met die presiese hoeveelheid data wat oorgedra is.

Geënkripteerde verkeersanalise

Gebruikersdataverkeer word toenemend geïnkripteer. Dit word gedoen om te beskerm dat dit nie deur aanvallers opgespoor of onderskep word nie. Maar terselfdertyd gebruik kuberkrakers toenemend enkripsie om hul wanware weg te steek en ander twyfelagtige bewerkings uit te voer soos Man-in-the-Middle (MiTM) of keylogging-aanvalle.

Die meeste besighede inspekteer sommige van hul geënkripteerde verkeer deur dit eers te dekripteer met behulp van firewalls of inbraakvoorkomingstelsels. Maar hierdie proses neem baie tyd en bevoordeel nie die werkverrigting van die netwerk as geheel nie. Daarbenewens, sodra dit gedekripteer is, word hierdie data kwesbaar vir gierige oë.

Cisco Catalyst 9800-reeks beheerders los die probleem suksesvol op om geïnkripteer verkeer op ander maniere te ontleed. Die oplossing word Encrypted Traffic Analytics (ETA) genoem. ETA is 'n tegnologie wat tans geen analoë in mededingende oplossings het nie en wat wanware in geënkripteerde verkeer opspoor sonder dat dit nodig is om dit te dekripteer. ETA is 'n kernkenmerk van IOS-XE wat Verbeterde NetFlow insluit en gebruik gevorderde gedragsalgoritmes om kwaadwillige verkeerspatrone te identifiseer wat in geënkripteerde verkeer skuil.

ETA dekripteer nie boodskappe nie, maar versamel metadataprofiele van geënkripteerde verkeersvloeie – pakkiegrootte, tydintervalle tussen pakkies, en nog baie meer. Die metadata word dan in NetFlow v9-rekords na Cisco Stealthwatch uitgevoer.

Die sleutelfunksie van Stealthwatch is om voortdurend verkeer te monitor, sowel as om 'n basislyn van normale netwerkaktiwiteit te skep. Deur gebruik te maak van geënkripteerde stroom-metadata wat deur die ETA aan hom gestuur is, pas Stealthwatch meerlaagse masjienleer toe om gedragsverkeersafwykings te identifiseer wat verdagte gebeurtenisse kan aandui.

Verlede jaar het Cisco Miercom betrek om sy Cisco Encrypted Traffic Analytics-oplossing onafhanklik te evalueer. Tydens hierdie assessering het Miercom afsonderlik bekende en onbekende bedreigings (virusse, Trojans, losprysware) in geënkripteerde en ongeënkripteerde verkeer oor groot ETA- en nie-ETA-netwerke gestuur om bedreigings te identifiseer.

Vir toetsing is kwaadwillige kode op beide netwerke bekendgestel. In beide gevalle is verdagte aktiwiteit geleidelik ontdek. Die ETA-netwerk het aanvanklik bedreigings 36% vinniger opgespoor as die nie-ETA-netwerk. Terselfdertyd, soos die werk gevorder het, het die produktiwiteit van opsporing in die ETA-netwerk begin toeneem. Gevolglik is twee derdes van aktiewe bedreigings na etlike ure se werk suksesvol in die ETA-netwerk opgespoor, wat twee keer soveel is as in die nie-ETA-netwerk.

ETA-funksionaliteit is goed geïntegreer met Stealthwatch. Bedreigings word volgens erns gerangskik en vertoon met gedetailleerde inligting, sowel as herstelopsies sodra dit bevestig is. Gevolgtrekking – ETA werk!

Indringing opsporing en voorkoming

Cisco het nou nog 'n doeltreffende sekuriteitshulpmiddel - die Cisco Advanced Wireless Intrusion Prevention System (aWIPS): 'n meganisme om bedreigings vir draadlose netwerke op te spoor en te voorkom. Die aWIPS-oplossing werk op die vlak van beheerders, toegangspunte en Cisco DNA Center-bestuursagteware. Bedreigingsopsporing, waarskuwing en voorkoming kombineer netwerkverkeeranalise, netwerktoestel- en netwerktopologie-inligting, handtekeninggebaseerde tegnieke en anomalie-opsporing om hoogs akkurate en voorkombare draadlose bedreigings te lewer.

Deur aWIPS ten volle in jou netwerkinfrastruktuur te integreer, kan jy deurlopend draadlose verkeer op beide bedrade en draadlose netwerke monitor en dit gebruik om potensiële aanvalle van verskeie bronne outomaties te ontleed vir die mees omvattende opsporing en voorkoming van moontlike aanvalle.

Verifikasie beteken

Op die oomblik, bykomend tot klassieke verifikasie-instrumente, ondersteun Cisco Catalyst 9800-reeks oplossings WPA3. WPA3 is die nuutste weergawe van WPA, wat 'n stel protokolle en tegnologieë is wat stawing en enkripsie vir Wi-Fi-netwerke verskaf.

WPA3 gebruik Simultaneous Authentication of Equals (SAE) om gebruikers die sterkste beskerming te bied teen wagwoordraaipogings deur derde partye. Wanneer 'n kliënt aan 'n toegangspunt koppel, voer dit 'n SAE-uitruiling uit. As dit suksesvol is, sal elkeen van hulle 'n kriptografies sterk sleutel skep waaruit die sessiesleutel afgelei sal word, en dan sal hulle die bevestigingstoestand betree. Die kliënt en toegangspunt kan dan handdruktoestande betree elke keer as 'n sessiesleutel gegenereer moet word. Die metode gebruik voorwaartse geheimhouding, waarin 'n aanvaller een sleutel kan kraak, maar nie alle ander sleutels nie.

Dit wil sê, SAE is so ontwerp dat 'n aanvaller wat verkeer onderskep net een poging het om die wagwoord te raai voordat die onderskepte data nutteloos word. Om 'n lang wagwoordherwinning te organiseer, sal jy fisiese toegang tot die toegangspunt nodig hê.

Kliënttoestelbeskerming

Cisco Catalyst 9800-reeks draadlose oplossings bied tans die primêre kliëntbeskermingsfunksie deur Cisco Umbrella WLAN, 'n wolkgebaseerde netwerksekuriteitsdiens wat op die DNS-vlak funksioneer met outomatiese opsporing van beide bekende en opkomende bedreigings.

Cisco Umbrella WLAN voorsien kliënttoestelle met 'n veilige verbinding met die internet. Dit word bereik deur inhoudfiltrering, dit wil sê deur toegang tot hulpbronne op die internet te blokkeer in ooreenstemming met ondernemingsbeleid. Kliënttoestelle op die internet word dus beskerm teen wanware, losprysware en uitvissing. Beleidstoepassing is gebaseer op 60 inhoudkategorieë wat voortdurend bygewerk word.

outomatisering

Vandag se draadlose netwerke is baie meer buigsaam en kompleks, so tradisionele metodes om inligting van draadlose beheerders op te stel en te herwin is nie genoeg nie. Netwerkadministrateurs en inligtingsekuriteitspersoneel benodig gereedskap vir outomatisering en analise, wat verskaffers van draadlose netwerke aanspoor om sulke gereedskap aan te bied.

Om hierdie probleme op te los, bied die Cisco Catalyst 9800-reeks draadlose beheerders, saam met die tradisionele API, ondersteuning vir die RESTCONF / NETCONF-netwerkkonfigurasieprotokol met die YANG (Yet Another Next Generation) datamodelleringstaal.

NETCONF is 'n XML-gebaseerde protokol wat toepassings kan gebruik om inligting te bevraagteken en die konfigurasie van netwerktoestelle soos draadlose beheerders te verander.

Benewens hierdie metodes, bied die Cisco Catalyst 9800-reeksbeheerders die vermoë om inligtingvloeidata vas te lê, op te haal en te ontleed deur gebruik te maak van die NetFlow- en sFlow-protokolle.

Vir sekuriteit en verkeersmodellering is die vermoë om spesifieke vloeie op te spoor 'n waardevolle hulpmiddel. Om hierdie probleem op te los, is die sFlow-protokol geïmplementeer, wat jou toelaat om twee pakkies uit elke honderd te vang. Soms is dit egter dalk nie genoeg om die vloei te ontleed en voldoende te bestudeer en te evalueer nie. Daarom is 'n alternatief NetFlow, geïmplementeer deur Cisco, wat jou toelaat om 100% alle pakkies in 'n gespesifiseerde vloei te versamel en uit te voer vir daaropvolgende ontleding.

Nog 'n kenmerk wat egter slegs beskikbaar is in die hardeware-implementering van die beheerders, wat jou toelaat om die werking van die draadlose netwerk in die Cisco Catalyst 9800-reeks beheerders te outomatiseer, is ingeboude ondersteuning vir die Python-taal as 'n byvoeging vir gebruik skrifte direk op die draadlose kontroleerder self.

Laastens ondersteun Cisco Catalyst 9800-reeksbeheerders die bewese SNMP-weergawe 1, 2 en 3-protokol vir monitering en bestuursbedrywighede.

Dus, in terme van outomatisering, voldoen Cisco Catalyst 9800-reeks oplossings ten volle aan moderne besigheidsvereistes, en bied beide nuwe en unieke, sowel as beproefde gereedskap vir outomatiese bedrywighede en analise in draadlose netwerke van enige grootte en kompleksiteit.

Gevolgtrekking

In oplossings gebaseer op die Cisco Catalyst 9800-reeksbeheerders, het Cisco uitstekende resultate getoon in die kategorieë van hoë beskikbaarheid, sekuriteit en outomatisering.

Die oplossing voldoen ten volle aan alle hoë beskikbaarheid vereistes soos sub-sekonde failover tydens onbeplande gebeure en geen stilstand vir geskeduleerde gebeure.

Die Cisco Catalyst 9800-reeksbeheerders bied omvattende sekuriteit wat diep pakkie-inspeksie bied vir toepassingsherkenning en beheer, volledige sigbaarheid in datavloei, en identifikasie van bedreigings wat in geënkripteerde verkeer versteek is, sowel as gevorderde verifikasie en sekuriteitsmeganismes vir kliënttoestelle.

Vir outomatisering en analise bied die Cisco Catalyst 9800-reeks kragtige vermoëns deur gewilde standaardmodelle te gebruik: YANG, NETCONF, RESTCONF, tradisionele API's en ingeboude Python-skrifte.

Cisco bevestig dus weereens sy status as die wêreld se voorste vervaardiger van netwerkoplossings, tred met die tyd en met inagneming van al die uitdagings van moderne besigheid.

Vir meer inligting oor die Catalyst-skakelaarfamilie, besoek Online cisco.

Bron: will.com