إذا كان لديك وحدة تحكم، فلا مشكلة: كيفية صيانة شبكتك اللاسلكية بسهولة

في عام 2019، أجرت الشركة الاستشارية Miercom تقييمًا تكنولوجيًا مستقلاً لوحدات تحكم Wi-Fi 6 من سلسلة Cisco Catalyst 9800. ولهذه الدراسة، تم تجميع منصة اختبار من وحدات التحكم ونقاط الوصول Cisco Wi-Fi 6، وكان الحل الفني هو تم تقييمها في الفئات التالية:

• التوفر
• الأمن؛
• أتمتة.

نتائج الدراسة مبينة أدناه. منذ عام 2019، تم تحسين وظائف وحدات التحكم في سلسلة Cisco Catalyst 9800 بشكل ملحوظ - وتنعكس هذه النقاط أيضًا في هذه المقالة.

يمكنك أن تقرأ عن المزايا الأخرى لتقنية Wi-Fi 6 وأمثلة على التنفيذ ومجالات التطبيق هنا.

حل نظرة عامة

وحدات تحكم Wi-Fi 6 سلسلة Cisco Catalyst 9800

تتوفر وحدات التحكم اللاسلكية Cisco Catalyst 9800 Series، استنادًا إلى نظام التشغيل IOS-XE (المستخدم أيضًا لمحولات وأجهزة التوجيه Cisco)، في مجموعة متنوعة من الخيارات.

يدعم الطراز الأقدم من وحدة التحكم 9800-80 سرعة نقل الشبكة اللاسلكية حتى 80 جيجابت في الثانية. تدعم وحدة التحكم 9800-80 ما يصل إلى 6000 نقطة وصول وما يصل إلى 64 عميل لاسلكي.

يدعم الطراز متوسط ​​المدى، وحدة التحكم 9800-40، ما يصل إلى 40 جيجابت في الثانية من الإنتاجية، وما يصل إلى 2000 نقطة وصول وما يصل إلى 32 عميل لاسلكي.

بالإضافة إلى هذه النماذج، شمل التحليل التنافسي أيضًا وحدة التحكم اللاسلكية 9800-CL (CL تعني Cloud). يعمل 9800-CL في بيئات افتراضية على برامج Hypervisor VMWare ESXI وKVM، ويعتمد أدائه على موارد الأجهزة المخصصة لجهاز التحكم الظاهري. في أقصى تكوين لها، تدعم وحدة التحكم Cisco 9800-CL، مثل الطراز الأقدم 9800-80، قابلية التوسع حتى 6000 نقطة وصول وما يصل إلى 64 عميل لاسلكي.

عند إجراء بحث باستخدام وحدات التحكم، تم استخدام نقاط الوصول من سلسلة Cisco Aironet AP 4800، مما يدعم التشغيل بترددات 2,4 و5 جيجا هرتز مع القدرة على التبديل ديناميكيًا إلى الوضع المزدوج 5 جيجا هرتز.

اختبار موقف

كجزء من الاختبار، تم تجميع الحامل من وحدتي تحكم لاسلكيتين Cisco Catalyst 9800-CL تعملان في مجموعة ونقاط وصول من سلسلة Cisco Aironet AP 4800.

تم استخدام أجهزة الكمبيوتر المحمولة من Dell وApple، بالإضافة إلى هاتف Apple iPhone الذكي، كأجهزة عميلة.

اختبار إمكانية الوصول

يتم تعريف التوفر على أنه قدرة المستخدمين على الوصول إلى النظام أو الخدمة واستخدامها. ويعني التوفر العالي الوصول المستمر إلى نظام أو خدمة، بشكل مستقل عن أحداث معينة.

تم اختبار التوفر العالي في أربعة سيناريوهات، السيناريوهات الثلاثة الأولى هي الأحداث المتوقعة أو المجدولة التي يمكن أن تحدث أثناء ساعات العمل أو بعدها. السيناريو الخامس هو الفشل الكلاسيكي، وهو حدث لا يمكن التنبؤ به.

وصف السيناريوهات:

• تصحيح الأخطاء – تحديث صغير للنظام (إصلاح الأخطاء أو تصحيح الأمان)، والذي يسمح لك بإصلاح خطأ أو ثغرة أمنية معينة دون تحديث كامل لبرنامج النظام؛
• التحديث الوظيفي - إضافة أو توسيع الوظائف الحالية للنظام عن طريق تثبيت التحديثات الوظيفية؛
• التحديث الكامل - تحديث صورة برنامج وحدة التحكم؛
• إضافة نقطة وصول – إضافة نموذج نقطة وصول جديد إلى شبكة لاسلكية دون الحاجة إلى إعادة تكوين برنامج وحدة التحكم اللاسلكية أو تحديثه؛
• فشل - فشل وحدة التحكم اللاسلكية.

إصلاح الأخطاء ونقاط الضعف

في كثير من الأحيان، مع العديد من الحلول التنافسية، يتطلب التصحيح تحديثًا كاملاً لبرنامج نظام وحدة التحكم اللاسلكية، مما قد يؤدي إلى توقف غير مخطط له. في حالة حل Cisco، يتم إجراء التصحيح دون إيقاف المنتج. يمكن تثبيت التصحيحات على أي من المكونات بينما تستمر البنية التحتية اللاسلكية في العمل.

الإجراء نفسه بسيط للغاية. يتم نسخ ملف التصحيح إلى مجلد bootstrap على إحدى وحدات التحكم اللاسلكية من Cisco، ثم يتم تأكيد العملية عبر واجهة المستخدم الرسومية أو سطر الأوامر. بالإضافة إلى ذلك، يمكنك أيضًا التراجع عن الإصلاح وإزالته عبر واجهة المستخدم الرسومية أو سطر الأوامر، أيضًا دون مقاطعة تشغيل النظام.

التحديث الوظيفي

يتم تطبيق تحديثات البرامج الوظيفية لتمكين الميزات الجديدة. أحد هذه التحسينات هو تحديث قاعدة بيانات توقيع التطبيق. تم تثبيت هذه الحزمة على وحدات تحكم Cisco كاختبار. تمامًا كما هو الحال مع التصحيحات، يتم تطبيق تحديثات الميزات أو تثبيتها أو إزالتها دون أي توقف أو انقطاع في النظام.

التحديث الكامل

في الوقت الحالي، يتم إجراء تحديث كامل لصورة برنامج وحدة التحكم بنفس طريقة التحديث الوظيفي، أي بدون توقف. ومع ذلك، هذه الميزة متاحة فقط في تكوين المجموعة عندما يكون هناك أكثر من وحدة تحكم واحدة. يتم إجراء التحديث الكامل بالتتابع: أولاً على وحدة تحكم واحدة، ثم على الثانية.

إضافة نموذج نقطة وصول جديد

يعد ربط نقاط الوصول الجديدة، التي لم يتم تشغيلها من قبل باستخدام صورة برنامج التحكم المستخدمة، بشبكة لاسلكية عملية شائعة إلى حد ما، خاصة في الشبكات الكبيرة (المطارات والفنادق والمصانع). في كثير من الأحيان، في الحلول المنافسة، تتطلب هذه العملية تحديث برنامج النظام أو إعادة تشغيل وحدات التحكم.

عند توصيل نقاط وصول Wi-Fi 6 جديدة بمجموعة من وحدات التحكم من سلسلة Cisco Catalyst 9800، لم تتم ملاحظة مثل هذه المشكلات. يتم توصيل النقاط الجديدة بوحدة التحكم دون تحديث برنامج وحدة التحكم، ولا تتطلب هذه العملية إعادة تشغيل، وبالتالي لا تؤثر على الشبكة اللاسلكية بأي شكل من الأشكال.

فشل وحدة التحكم

تستخدم بيئة الاختبار وحدتي تحكم Wi-Fi 6 (نشطة/وضعية) وتتمتع نقطة الوصول باتصال مباشر بكلتا وحدتي التحكم.

إحدى وحدات التحكم اللاسلكية نشطة، والأخرى احتياطية على التوالي. إذا فشلت وحدة التحكم النشطة، فستتولى وحدة التحكم الاحتياطية المسؤولية وتتغير حالتها إلى نشطة. يحدث هذا الإجراء دون انقطاع لنقطة الوصول وشبكة Wi-Fi للعملاء.

أمن

يناقش هذا القسم الجوانب الأمنية، وهي مسألة ملحة للغاية في الشبكات اللاسلكية. يتم تقييم أمان الحل بناءً على الخصائص التالية:

• التعرف على التطبيق؛
• تتبع التدفق؛
• تحليل حركة المرور المشفرة.
• كشف التسلل ومنعه؛
• وسائل المصادقة؛
• أدوات حماية جهاز العميل.

التعرف على التطبيق

من بين مجموعة متنوعة من المنتجات في سوق Wi-Fi للمؤسسات وسوق Wi-Fi الصناعية، هناك اختلافات في مدى جودة تحديد المنتجات لحركة المرور حسب التطبيق. قد تحدد المنتجات من شركات مصنعة مختلفة أعدادًا مختلفة من التطبيقات. ومع ذلك، فإن العديد من التطبيقات التي تدرجها الحلول التنافسية لتحديد هويتها هي في الواقع مواقع ويب وليست تطبيقات فريدة.

هناك ميزة أخرى مثيرة للاهتمام للتعرف على التطبيقات: تختلف الحلول بشكل كبير في دقة التعريف.

مع الأخذ في الاعتبار جميع الاختبارات التي تم إجراؤها، يمكننا أن نؤكد بشكل مسؤول أن حل Wi-Fi-6 من Cisco ينفذ التعرف على التطبيقات بدقة شديدة: تم تحديد Jabber وNetflix وDropbox وYouTube وغيرها من التطبيقات الشائعة، بالإضافة إلى خدمات الويب، بدقة. يمكن لحلول Cisco أيضًا التعمق في حزم البيانات باستخدام DPI (الفحص العميق للحزم).

تتبع تدفق حركة المرور

تم إجراء اختبار آخر لمعرفة ما إذا كان النظام يمكنه تتبع تدفقات البيانات والإبلاغ عنها بدقة (مثل حركات الملفات الكبيرة). لاختبار ذلك، تم إرسال ملف بحجم 6,5 ميغابايت عبر الشبكة باستخدام بروتوكول نقل الملفات (FTP).

كان حل Cisco على مستوى المهمة تمامًا وكان قادرًا على تتبع حركة المرور هذه بفضل NetFlow وإمكانيات أجهزته. تم الكشف عن حركة المرور وتحديدها على الفور مع الكمية الدقيقة من البيانات المنقولة.

تحليل حركة المرور المشفرة

يتم تشفير حركة بيانات المستخدم بشكل متزايد. يتم ذلك لحمايته من تعقبه أو اعتراضه من قبل المهاجمين. ولكن في الوقت نفسه، يستخدم المتسللون التشفير بشكل متزايد لإخفاء برامجهم الضارة وتنفيذ عمليات أخرى مشبوهة مثل Man-in-the-Middle (MiTM) أو هجمات تسجيل لوحة المفاتيح.

تقوم معظم الشركات بفحص بعض حركة المرور المشفرة الخاصة بها عن طريق فك تشفيرها أولاً باستخدام جدران الحماية أو أنظمة منع التطفل. لكن هذه العملية تستغرق الكثير من الوقت ولا تفيد أداء الشبكة ككل. بالإضافة إلى ذلك، بمجرد فك تشفير هذه البيانات، تصبح عرضة لأعين المتطفلين.

نجحت وحدات التحكم Cisco Catalyst 9800 Series في حل مشكلة تحليل حركة المرور المشفرة بوسائل أخرى. الحل يسمى تحليلات حركة المرور المشفرة (ETA). ETA هي تقنية ليس لها نظائرها حاليًا في الحلول التنافسية وتكتشف البرامج الضارة في حركة المرور المشفرة دون الحاجة إلى فك تشفيرها. تعد ETA إحدى الميزات الأساسية لنظام IOS-XE والتي تتضمن Enhanced NetFlow وتستخدم خوارزميات سلوكية متقدمة لتحديد أنماط حركة المرور الضارة المختبئة في حركة المرور المشفرة.

لا تقوم ETA بفك تشفير الرسائل، ولكنها تجمع ملفات تعريف البيانات التعريفية لتدفقات حركة المرور المشفرة - حجم الحزمة، والفواصل الزمنية بين الحزم، وغير ذلك الكثير. يتم بعد ذلك تصدير البيانات التعريفية في سجلات NetFlow v9 إلى Cisco Stealthwatch.

تتمثل الوظيفة الرئيسية لـ Stealthwatch في مراقبة حركة المرور باستمرار، بالإضافة إلى إنشاء خط أساسي لنشاط الشبكة العادي. باستخدام البيانات الوصفية المشفرة المرسلة إليها من قبل ETA، تطبق Stealthwatch التعلم الآلي متعدد الطبقات لتحديد الانحرافات السلوكية في حركة المرور التي قد تشير إلى أحداث مشبوهة.

في العام الماضي، قامت شركة Cisco بإشراك شركة Miercom لإجراء تقييم مستقل لحل Cisco Encrypted Traffic Analytics الخاص بها. خلال هذا التقييم، أرسلت Miercom بشكل منفصل التهديدات المعروفة وغير المعروفة (الفيروسات وأحصنة طروادة وبرامج الفدية) في حركة مرور مشفرة وغير مشفرة عبر شبكات ETA الكبيرة وغير التابعة لـ ETA لتحديد التهديدات.

وللاختبار، تم إطلاق تعليمات برمجية ضارة على كلا الشبكتين. وفي كلتا الحالتين، تم اكتشاف النشاط المشبوه تدريجياً. اكتشفت شبكة ETA في البداية التهديدات بنسبة 36% أسرع من الشبكة غير التابعة لـ ETA. وفي الوقت نفسه، مع تقدم العمل، بدأت إنتاجية الكشف في شبكة ETA في الزيادة. ونتيجة لذلك، وبعد عدة ساعات من العمل، تم اكتشاف ثلثي التهديدات النشطة بنجاح في شبكة ETA، وهو ضعف ما تم اكتشافه في الشبكة غير التابعة لـ ETA.

تم دمج وظيفة ETA بشكل جيد مع Stealthwatch. يتم تصنيف التهديدات حسب خطورتها ويتم عرضها مع معلومات تفصيلية، بالإضافة إلى خيارات العلاج بمجرد تأكيدها. الخلاصة - ETA تعمل!

كشف التسلل والوقاية منه

تمتلك شركة Cisco الآن أداة أمنية فعالة أخرى - نظام Cisco Advanced Wireless Intrusion Prevention System (aWIPS): آلية لاكتشاف التهديدات التي تتعرض لها الشبكات اللاسلكية ومنعها. يعمل حل aWIPS على مستوى وحدات التحكم ونقاط الوصول وبرامج إدارة Cisco DNA Center. يجمع اكتشاف التهديدات والتنبيه والوقاية منها بين تحليل حركة مرور الشبكة ومعلومات جهاز الشبكة وبنية الشبكة والتقنيات القائمة على التوقيع والكشف عن الحالات الشاذة لتقديم تهديدات لاسلكية دقيقة للغاية ويمكن الوقاية منها.

من خلال دمج aWIPS بالكامل في البنية التحتية لشبكتك، يمكنك مراقبة حركة المرور اللاسلكية بشكل مستمر على كل من الشبكات السلكية واللاسلكية واستخدامها لتحليل الهجمات المحتملة تلقائيًا من مصادر متعددة لتوفير الكشف والوقاية الأكثر شمولاً الممكنة.

وسائل المصادقة

في الوقت الحالي، بالإضافة إلى أدوات المصادقة الكلاسيكية، تدعم حلول سلسلة Cisco Catalyst 9800 WPA3. WPA3 هو أحدث إصدار من WPA، وهو عبارة عن مجموعة من البروتوكولات والتقنيات التي توفر المصادقة والتشفير لشبكات Wi-Fi.

يستخدم WPA3 المصادقة المتزامنة للمساواة (SAE) لتوفير أقوى حماية للمستخدمين ضد محاولات تخمين كلمة المرور من قبل أطراف ثالثة. عندما يتصل العميل بنقطة وصول، فإنه يقوم بإجراء تبادل SAE. إذا نجح الأمر، فسيقوم كل منهم بإنشاء مفتاح تشفير قوي سيتم اشتقاق مفتاح الجلسة منه، ثم سيدخلون في حالة التأكيد. يمكن للعميل ونقطة الوصول بعد ذلك إدخال حالات المصافحة في كل مرة يلزم فيها إنشاء مفتاح الجلسة. تستخدم الطريقة السرية الأمامية، حيث يمكن للمهاجم كسر مفتاح واحد، ولكن ليس جميع المفاتيح الأخرى.

وهذا يعني أن SAE مصمم بحيث يكون للمهاجم الذي يعترض حركة المرور محاولة واحدة فقط لتخمين كلمة المرور قبل أن تصبح البيانات التي تم اعتراضها عديمة الفائدة. لتنظيم استعادة كلمة المرور الطويلة، ستحتاج إلى الوصول الفعلي إلى نقطة الوصول.

حماية جهاز العميل

توفر الحلول اللاسلكية لسلسلة Cisco Catalyst 9800 حاليًا ميزة حماية العملاء الأساسية من خلال Cisco Umbrella WLAN، وهي خدمة أمان شبكة قائمة على السحابة تعمل على مستوى DNS مع الكشف التلقائي عن كل من التهديدات المعروفة والناشئة.

توفر Cisco Umbrella WLAN للأجهزة العميلة اتصالاً آمنًا بالإنترنت. يتم تحقيق ذلك من خلال تصفية المحتوى، أي عن طريق منع الوصول إلى الموارد على الإنترنت وفقًا لسياسة المؤسسة. وبالتالي، تتم حماية الأجهزة العميلة على الإنترنت من البرامج الضارة وبرامج الفدية والتصيد الاحتيالي. يعتمد تطبيق السياسة على 60 فئة محتوى يتم تحديثها باستمرار.

الأتمتة

تعد الشبكات اللاسلكية اليوم أكثر مرونة وتعقيدًا، لذا فإن الطرق التقليدية لتكوين المعلومات واسترجاعها من وحدات التحكم اللاسلكية ليست كافية. يحتاج مسؤولو الشبكات ومتخصصو أمن المعلومات إلى أدوات للتشغيل الآلي والتحليلات، مما يدفع موردي الخدمات اللاسلكية إلى تقديم مثل هذه الأدوات.

لحل هذه المشكلات، توفر وحدات التحكم اللاسلكية من سلسلة Cisco Catalyst 9800، جنبًا إلى جنب مع واجهة برمجة التطبيقات التقليدية، الدعم لبروتوكول تكوين الشبكة RESTCONF / NETCONF مع لغة نمذجة البيانات YANG (الجيل التالي الآخر).

NETCONF هو بروتوكول يستند إلى XML يمكن للتطبيقات استخدامه للاستعلام عن المعلومات وتغيير تكوين أجهزة الشبكة مثل وحدات التحكم اللاسلكية.

بالإضافة إلى هذه الأساليب، توفر وحدات التحكم Cisco Catalyst 9800 Series القدرة على التقاط بيانات تدفق المعلومات واسترجاعها وتحليلها باستخدام بروتوكولي NetFlow وsFlow.

بالنسبة لنمذجة الأمان وحركة المرور، تعد القدرة على تتبع تدفقات محددة أداة قيمة. لحل هذه المشكلة، تم تطبيق بروتوكول sFlow، والذي يسمح لك بالتقاط حزمتين من كل مائة. ومع ذلك، في بعض الأحيان قد لا يكون هذا كافيًا لتحليل التدفق ودراسته وتقييمه بشكل كافٍ. ولذلك، فإن البديل هو NetFlow، الذي تنفذه شركة Cisco، والذي يسمح لك بتجميع وتصدير كافة الحزم بنسبة 100% في تدفق محدد للتحليل اللاحق.

ومع ذلك، هناك ميزة أخرى متاحة فقط في تنفيذ الأجهزة لوحدات التحكم، والتي تسمح لك بأتمتة تشغيل الشبكة اللاسلكية في وحدات تحكم سلسلة Cisco Catalyst 9800، وهي الدعم المدمج للغة Python كوظيفة إضافية للاستخدام البرامج النصية مباشرة على وحدة التحكم اللاسلكية نفسها.

أخيرًا، تدعم وحدات التحكم في سلسلة Cisco Catalyst 9800 بروتوكول SNMP الإصدار 1 و2 و3 المثبت لعمليات المراقبة والإدارة.

وبالتالي، فيما يتعلق بالأتمتة، فإن حلول Cisco Catalyst 9800 Series تلبي تمامًا متطلبات الأعمال الحديثة، وتقدم أدوات جديدة وفريدة من نوعها، بالإضافة إلى أدوات تم اختبارها عبر الزمن للعمليات والتحليلات الآلية في الشبكات اللاسلكية بأي حجم وتعقيد.

اختتام

في الحلول المستندة إلى وحدات التحكم Cisco Catalyst 9800 Series، أظهرت Cisco نتائج ممتازة في فئات التوفر العالي والأمان والأتمتة.

يلبي الحل بشكل كامل جميع متطلبات التوفر العالي مثل تجاوز الفشل في ثانية فرعية أثناء الأحداث غير المخطط لها وعدم التوقف عن العمل للأحداث المجدولة.

توفر وحدات التحكم في سلسلة Cisco Catalyst 9800 أمانًا شاملاً يوفر فحصًا عميقًا للحزم للتعرف على التطبيقات والتحكم فيها، ورؤية كاملة لتدفقات البيانات، وتحديد التهديدات المخفية في حركة المرور المشفرة، بالإضافة إلى آليات المصادقة والأمان المتقدمة لأجهزة العميل.

بالنسبة للأتمتة والتحليلات، توفر سلسلة Cisco Catalyst 9800 إمكانات قوية باستخدام النماذج القياسية الشائعة: YANG، وNETCONF، وRESTCONF، وواجهات برمجة التطبيقات التقليدية، ونصوص Python المدمجة.

وبذلك تؤكد شركة سيسكو مرة أخرى مكانتها كشركة رائدة عالميًا في مجال حلول الشبكات، ومواكبة العصر ومراعاة كافة تحديات الأعمال الحديثة.

لمزيد من المعلومات حول عائلة محولات Catalyst، تفضل بزيارة على الانترنت سيسكو.

المصدر: www.habr.com

في عام 2019، أجرت الشركة الاستشارية Miercom تقييمًا تكنولوجيًا مستقلاً لوحدات تحكم Wi-Fi 6 من سلسلة Cisco Catalyst 9800. ولهذه الدراسة، تم تجميع منصة اختبار من وحدات التحكم ونقاط الوصول Cisco Wi-Fi 6، وكان الحل الفني هو تم تقييمها في الفئات التالية:

• التوفر
• الأمن؛
• أتمتة.

نتائج الدراسة مبينة أدناه. منذ عام 2019، تم تحسين وظائف وحدات التحكم في سلسلة Cisco Catalyst 9800 بشكل ملحوظ - وتنعكس هذه النقاط أيضًا في هذه المقالة.

يمكنك أن تقرأ عن المزايا الأخرى لتقنية Wi-Fi 6 وأمثلة على التنفيذ ومجالات التطبيق هنا.

حل نظرة عامة

وحدات تحكم Wi-Fi 6 سلسلة Cisco Catalyst 9800

تتوفر وحدات التحكم اللاسلكية Cisco Catalyst 9800 Series، استنادًا إلى نظام التشغيل IOS-XE (المستخدم أيضًا لمحولات وأجهزة التوجيه Cisco)، في مجموعة متنوعة من الخيارات.

يدعم الطراز الأقدم من وحدة التحكم 9800-80 سرعة نقل الشبكة اللاسلكية حتى 80 جيجابت في الثانية. تدعم وحدة التحكم 9800-80 ما يصل إلى 6000 نقطة وصول وما يصل إلى 64 عميل لاسلكي.

يدعم الطراز متوسط ​​المدى، وحدة التحكم 9800-40، ما يصل إلى 40 جيجابت في الثانية من الإنتاجية، وما يصل إلى 2000 نقطة وصول وما يصل إلى 32 عميل لاسلكي.

بالإضافة إلى هذه النماذج، شمل التحليل التنافسي أيضًا وحدة التحكم اللاسلكية 9800-CL (CL تعني Cloud). يعمل 9800-CL في بيئات افتراضية على برامج Hypervisor VMWare ESXI وKVM، ويعتمد أدائه على موارد الأجهزة المخصصة لجهاز التحكم الظاهري. في أقصى تكوين لها، تدعم وحدة التحكم Cisco 9800-CL، مثل الطراز الأقدم 9800-80، قابلية التوسع حتى 6000 نقطة وصول وما يصل إلى 64 عميل لاسلكي.

عند إجراء بحث باستخدام وحدات التحكم، تم استخدام نقاط الوصول من سلسلة Cisco Aironet AP 4800، مما يدعم التشغيل بترددات 2,4 و5 جيجا هرتز مع القدرة على التبديل ديناميكيًا إلى الوضع المزدوج 5 جيجا هرتز.

اختبار موقف

كجزء من الاختبار، تم تجميع الحامل من وحدتي تحكم لاسلكيتين Cisco Catalyst 9800-CL تعملان في مجموعة ونقاط وصول من سلسلة Cisco Aironet AP 4800.

تم استخدام أجهزة الكمبيوتر المحمولة من Dell وApple، بالإضافة إلى هاتف Apple iPhone الذكي، كأجهزة عميلة.

اختبار إمكانية الوصول

يتم تعريف التوفر على أنه قدرة المستخدمين على الوصول إلى النظام أو الخدمة واستخدامها. ويعني التوفر العالي الوصول المستمر إلى نظام أو خدمة، بشكل مستقل عن أحداث معينة.

تم اختبار التوفر العالي في أربعة سيناريوهات، السيناريوهات الثلاثة الأولى هي الأحداث المتوقعة أو المجدولة التي يمكن أن تحدث أثناء ساعات العمل أو بعدها. السيناريو الخامس هو الفشل الكلاسيكي، وهو حدث لا يمكن التنبؤ به.

وصف السيناريوهات:

• تصحيح الأخطاء – تحديث صغير للنظام (إصلاح الأخطاء أو تصحيح الأمان)، والذي يسمح لك بإصلاح خطأ أو ثغرة أمنية معينة دون تحديث كامل لبرنامج النظام؛
• التحديث الوظيفي - إضافة أو توسيع الوظائف الحالية للنظام عن طريق تثبيت التحديثات الوظيفية؛
• التحديث الكامل - تحديث صورة برنامج وحدة التحكم؛
• إضافة نقطة وصول – إضافة نموذج نقطة وصول جديد إلى شبكة لاسلكية دون الحاجة إلى إعادة تكوين برنامج وحدة التحكم اللاسلكية أو تحديثه؛
• فشل - فشل وحدة التحكم اللاسلكية.

إصلاح الأخطاء ونقاط الضعف

في كثير من الأحيان، مع العديد من الحلول التنافسية، يتطلب التصحيح تحديثًا كاملاً لبرنامج نظام وحدة التحكم اللاسلكية، مما قد يؤدي إلى توقف غير مخطط له. في حالة حل Cisco، يتم إجراء التصحيح دون إيقاف المنتج. يمكن تثبيت التصحيحات على أي من المكونات بينما تستمر البنية التحتية اللاسلكية في العمل.

الإجراء نفسه بسيط للغاية. يتم نسخ ملف التصحيح إلى مجلد bootstrap على إحدى وحدات التحكم اللاسلكية من Cisco، ثم يتم تأكيد العملية عبر واجهة المستخدم الرسومية أو سطر الأوامر. بالإضافة إلى ذلك، يمكنك أيضًا التراجع عن الإصلاح وإزالته عبر واجهة المستخدم الرسومية أو سطر الأوامر، أيضًا دون مقاطعة تشغيل النظام.

التحديث الوظيفي

يتم تطبيق تحديثات البرامج الوظيفية لتمكين الميزات الجديدة. أحد هذه التحسينات هو تحديث قاعدة بيانات توقيع التطبيق. تم تثبيت هذه الحزمة على وحدات تحكم Cisco كاختبار. تمامًا كما هو الحال مع التصحيحات، يتم تطبيق تحديثات الميزات أو تثبيتها أو إزالتها دون أي توقف أو انقطاع في النظام.

التحديث الكامل

في الوقت الحالي، يتم إجراء تحديث كامل لصورة برنامج وحدة التحكم بنفس طريقة التحديث الوظيفي، أي بدون توقف. ومع ذلك، هذه الميزة متاحة فقط في تكوين المجموعة عندما يكون هناك أكثر من وحدة تحكم واحدة. يتم إجراء التحديث الكامل بالتتابع: أولاً على وحدة تحكم واحدة، ثم على الثانية.

إضافة نموذج نقطة وصول جديد

يعد ربط نقاط الوصول الجديدة، التي لم يتم تشغيلها من قبل باستخدام صورة برنامج التحكم المستخدمة، بشبكة لاسلكية عملية شائعة إلى حد ما، خاصة في الشبكات الكبيرة (المطارات والفنادق والمصانع). في كثير من الأحيان، في الحلول المنافسة، تتطلب هذه العملية تحديث برنامج النظام أو إعادة تشغيل وحدات التحكم.

عند توصيل نقاط وصول Wi-Fi 6 جديدة بمجموعة من وحدات التحكم من سلسلة Cisco Catalyst 9800، لم تتم ملاحظة مثل هذه المشكلات. يتم توصيل النقاط الجديدة بوحدة التحكم دون تحديث برنامج وحدة التحكم، ولا تتطلب هذه العملية إعادة تشغيل، وبالتالي لا تؤثر على الشبكة اللاسلكية بأي شكل من الأشكال.

فشل وحدة التحكم

تستخدم بيئة الاختبار وحدتي تحكم Wi-Fi 6 (نشطة/وضعية) وتتمتع نقطة الوصول باتصال مباشر بكلتا وحدتي التحكم.

إحدى وحدات التحكم اللاسلكية نشطة، والأخرى احتياطية على التوالي. إذا فشلت وحدة التحكم النشطة، فستتولى وحدة التحكم الاحتياطية المسؤولية وتتغير حالتها إلى نشطة. يحدث هذا الإجراء دون انقطاع لنقطة الوصول وشبكة Wi-Fi للعملاء.

أمن

يناقش هذا القسم الجوانب الأمنية، وهي مسألة ملحة للغاية في الشبكات اللاسلكية. يتم تقييم أمان الحل بناءً على الخصائص التالية:

• التعرف على التطبيق؛
• تتبع التدفق؛
• تحليل حركة المرور المشفرة.
• كشف التسلل ومنعه؛
• وسائل المصادقة؛
• أدوات حماية جهاز العميل.

التعرف على التطبيق

من بين مجموعة متنوعة من المنتجات في سوق Wi-Fi للمؤسسات وسوق Wi-Fi الصناعية، هناك اختلافات في مدى جودة تحديد المنتجات لحركة المرور حسب التطبيق. قد تحدد المنتجات من شركات مصنعة مختلفة أعدادًا مختلفة من التطبيقات. ومع ذلك، فإن العديد من التطبيقات التي تدرجها الحلول التنافسية لتحديد هويتها هي في الواقع مواقع ويب وليست تطبيقات فريدة.

هناك ميزة أخرى مثيرة للاهتمام للتعرف على التطبيقات: تختلف الحلول بشكل كبير في دقة التعريف.

مع الأخذ في الاعتبار جميع الاختبارات التي تم إجراؤها، يمكننا أن نؤكد بشكل مسؤول أن حل Wi-Fi-6 من Cisco ينفذ التعرف على التطبيقات بدقة شديدة: تم تحديد Jabber وNetflix وDropbox وYouTube وغيرها من التطبيقات الشائعة، بالإضافة إلى خدمات الويب، بدقة. يمكن لحلول Cisco أيضًا التعمق في حزم البيانات باستخدام DPI (الفحص العميق للحزم).

تتبع تدفق حركة المرور

تم إجراء اختبار آخر لمعرفة ما إذا كان النظام يمكنه تتبع تدفقات البيانات والإبلاغ عنها بدقة (مثل حركات الملفات الكبيرة). لاختبار ذلك، تم إرسال ملف بحجم 6,5 ميغابايت عبر الشبكة باستخدام بروتوكول نقل الملفات (FTP).

كان حل Cisco على مستوى المهمة تمامًا وكان قادرًا على تتبع حركة المرور هذه بفضل NetFlow وإمكانيات أجهزته. تم الكشف عن حركة المرور وتحديدها على الفور مع الكمية الدقيقة من البيانات المنقولة.

تحليل حركة المرور المشفرة

يتم تشفير حركة بيانات المستخدم بشكل متزايد. يتم ذلك لحمايته من تعقبه أو اعتراضه من قبل المهاجمين. ولكن في الوقت نفسه، يستخدم المتسللون التشفير بشكل متزايد لإخفاء برامجهم الضارة وتنفيذ عمليات أخرى مشبوهة مثل Man-in-the-Middle (MiTM) أو هجمات تسجيل لوحة المفاتيح.

تقوم معظم الشركات بفحص بعض حركة المرور المشفرة الخاصة بها عن طريق فك تشفيرها أولاً باستخدام جدران الحماية أو أنظمة منع التطفل. لكن هذه العملية تستغرق الكثير من الوقت ولا تفيد أداء الشبكة ككل. بالإضافة إلى ذلك، بمجرد فك تشفير هذه البيانات، تصبح عرضة لأعين المتطفلين.

نجحت وحدات التحكم Cisco Catalyst 9800 Series في حل مشكلة تحليل حركة المرور المشفرة بوسائل أخرى. الحل يسمى تحليلات حركة المرور المشفرة (ETA). ETA هي تقنية ليس لها نظائرها حاليًا في الحلول التنافسية وتكتشف البرامج الضارة في حركة المرور المشفرة دون الحاجة إلى فك تشفيرها. تعد ETA إحدى الميزات الأساسية لنظام IOS-XE والتي تتضمن Enhanced NetFlow وتستخدم خوارزميات سلوكية متقدمة لتحديد أنماط حركة المرور الضارة المختبئة في حركة المرور المشفرة.

لا تقوم ETA بفك تشفير الرسائل، ولكنها تجمع ملفات تعريف البيانات التعريفية لتدفقات حركة المرور المشفرة - حجم الحزمة، والفواصل الزمنية بين الحزم، وغير ذلك الكثير. يتم بعد ذلك تصدير البيانات التعريفية في سجلات NetFlow v9 إلى Cisco Stealthwatch.

تتمثل الوظيفة الرئيسية لـ Stealthwatch في مراقبة حركة المرور باستمرار، بالإضافة إلى إنشاء خط أساسي لنشاط الشبكة العادي. باستخدام البيانات الوصفية المشفرة المرسلة إليها من قبل ETA، تطبق Stealthwatch التعلم الآلي متعدد الطبقات لتحديد الانحرافات السلوكية في حركة المرور التي قد تشير إلى أحداث مشبوهة.

في العام الماضي، قامت شركة Cisco بإشراك شركة Miercom لإجراء تقييم مستقل لحل Cisco Encrypted Traffic Analytics الخاص بها. خلال هذا التقييم، أرسلت Miercom بشكل منفصل التهديدات المعروفة وغير المعروفة (الفيروسات وأحصنة طروادة وبرامج الفدية) في حركة مرور مشفرة وغير مشفرة عبر شبكات ETA الكبيرة وغير التابعة لـ ETA لتحديد التهديدات.

وللاختبار، تم إطلاق تعليمات برمجية ضارة على كلا الشبكتين. وفي كلتا الحالتين، تم اكتشاف النشاط المشبوه تدريجياً. اكتشفت شبكة ETA في البداية التهديدات بنسبة 36% أسرع من الشبكة غير التابعة لـ ETA. وفي الوقت نفسه، مع تقدم العمل، بدأت إنتاجية الكشف في شبكة ETA في الزيادة. ونتيجة لذلك، وبعد عدة ساعات من العمل، تم اكتشاف ثلثي التهديدات النشطة بنجاح في شبكة ETA، وهو ضعف ما تم اكتشافه في الشبكة غير التابعة لـ ETA.

تم دمج وظيفة ETA بشكل جيد مع Stealthwatch. يتم تصنيف التهديدات حسب خطورتها ويتم عرضها مع معلومات تفصيلية، بالإضافة إلى خيارات العلاج بمجرد تأكيدها. الخلاصة - ETA تعمل!

كشف التسلل والوقاية منه

تمتلك شركة Cisco الآن أداة أمنية فعالة أخرى - نظام Cisco Advanced Wireless Intrusion Prevention System (aWIPS): آلية لاكتشاف التهديدات التي تتعرض لها الشبكات اللاسلكية ومنعها. يعمل حل aWIPS على مستوى وحدات التحكم ونقاط الوصول وبرامج إدارة Cisco DNA Center. يجمع اكتشاف التهديدات والتنبيه والوقاية منها بين تحليل حركة مرور الشبكة ومعلومات جهاز الشبكة وبنية الشبكة والتقنيات القائمة على التوقيع والكشف عن الحالات الشاذة لتقديم تهديدات لاسلكية دقيقة للغاية ويمكن الوقاية منها.

من خلال دمج aWIPS بالكامل في البنية التحتية لشبكتك، يمكنك مراقبة حركة المرور اللاسلكية بشكل مستمر على كل من الشبكات السلكية واللاسلكية واستخدامها لتحليل الهجمات المحتملة تلقائيًا من مصادر متعددة لتوفير الكشف والوقاية الأكثر شمولاً الممكنة.

وسائل المصادقة

في الوقت الحالي، بالإضافة إلى أدوات المصادقة الكلاسيكية، تدعم حلول سلسلة Cisco Catalyst 9800 WPA3. WPA3 هو أحدث إصدار من WPA، وهو عبارة عن مجموعة من البروتوكولات والتقنيات التي توفر المصادقة والتشفير لشبكات Wi-Fi.

يستخدم WPA3 المصادقة المتزامنة للمساواة (SAE) لتوفير أقوى حماية للمستخدمين ضد محاولات تخمين كلمة المرور من قبل أطراف ثالثة. عندما يتصل العميل بنقطة وصول، فإنه يقوم بإجراء تبادل SAE. إذا نجح الأمر، فسيقوم كل منهم بإنشاء مفتاح تشفير قوي سيتم اشتقاق مفتاح الجلسة منه، ثم سيدخلون في حالة التأكيد. يمكن للعميل ونقطة الوصول بعد ذلك إدخال حالات المصافحة في كل مرة يلزم فيها إنشاء مفتاح الجلسة. تستخدم الطريقة السرية الأمامية، حيث يمكن للمهاجم كسر مفتاح واحد، ولكن ليس جميع المفاتيح الأخرى.

وهذا يعني أن SAE مصمم بحيث يكون للمهاجم الذي يعترض حركة المرور محاولة واحدة فقط لتخمين كلمة المرور قبل أن تصبح البيانات التي تم اعتراضها عديمة الفائدة. لتنظيم استعادة كلمة المرور الطويلة، ستحتاج إلى الوصول الفعلي إلى نقطة الوصول.

حماية جهاز العميل

توفر الحلول اللاسلكية لسلسلة Cisco Catalyst 9800 حاليًا ميزة حماية العملاء الأساسية من خلال Cisco Umbrella WLAN، وهي خدمة أمان شبكة قائمة على السحابة تعمل على مستوى DNS مع الكشف التلقائي عن كل من التهديدات المعروفة والناشئة.

توفر Cisco Umbrella WLAN للأجهزة العميلة اتصالاً آمنًا بالإنترنت. يتم تحقيق ذلك من خلال تصفية المحتوى، أي عن طريق منع الوصول إلى الموارد على الإنترنت وفقًا لسياسة المؤسسة. وبالتالي، تتم حماية الأجهزة العميلة على الإنترنت من البرامج الضارة وبرامج الفدية والتصيد الاحتيالي. يعتمد تطبيق السياسة على 60 فئة محتوى يتم تحديثها باستمرار.

الأتمتة

تعد الشبكات اللاسلكية اليوم أكثر مرونة وتعقيدًا، لذا فإن الطرق التقليدية لتكوين المعلومات واسترجاعها من وحدات التحكم اللاسلكية ليست كافية. يحتاج مسؤولو الشبكات ومتخصصو أمن المعلومات إلى أدوات للتشغيل الآلي والتحليلات، مما يدفع موردي الخدمات اللاسلكية إلى تقديم مثل هذه الأدوات.

لحل هذه المشكلات، توفر وحدات التحكم اللاسلكية من سلسلة Cisco Catalyst 9800، جنبًا إلى جنب مع واجهة برمجة التطبيقات التقليدية، الدعم لبروتوكول تكوين الشبكة RESTCONF / NETCONF مع لغة نمذجة البيانات YANG (الجيل التالي الآخر).

NETCONF هو بروتوكول يستند إلى XML يمكن للتطبيقات استخدامه للاستعلام عن المعلومات وتغيير تكوين أجهزة الشبكة مثل وحدات التحكم اللاسلكية.

بالإضافة إلى هذه الأساليب، توفر وحدات التحكم Cisco Catalyst 9800 Series القدرة على التقاط بيانات تدفق المعلومات واسترجاعها وتحليلها باستخدام بروتوكولي NetFlow وsFlow.

بالنسبة لنمذجة الأمان وحركة المرور، تعد القدرة على تتبع تدفقات محددة أداة قيمة. لحل هذه المشكلة، تم تطبيق بروتوكول sFlow، والذي يسمح لك بالتقاط حزمتين من كل مائة. ومع ذلك، في بعض الأحيان قد لا يكون هذا كافيًا لتحليل التدفق ودراسته وتقييمه بشكل كافٍ. ولذلك، فإن البديل هو NetFlow، الذي تنفذه شركة Cisco، والذي يسمح لك بتجميع وتصدير كافة الحزم بنسبة 100% في تدفق محدد للتحليل اللاحق.

ومع ذلك، هناك ميزة أخرى متاحة فقط في تنفيذ الأجهزة لوحدات التحكم، والتي تسمح لك بأتمتة تشغيل الشبكة اللاسلكية في وحدات تحكم سلسلة Cisco Catalyst 9800، وهي الدعم المدمج للغة Python كوظيفة إضافية للاستخدام البرامج النصية مباشرة على وحدة التحكم اللاسلكية نفسها.

أخيرًا، تدعم وحدات التحكم في سلسلة Cisco Catalyst 9800 بروتوكول SNMP الإصدار 1 و2 و3 المثبت لعمليات المراقبة والإدارة.

وبالتالي، فيما يتعلق بالأتمتة، فإن حلول Cisco Catalyst 9800 Series تلبي تمامًا متطلبات الأعمال الحديثة، وتقدم أدوات جديدة وفريدة من نوعها، بالإضافة إلى أدوات تم اختبارها عبر الزمن للعمليات والتحليلات الآلية في الشبكات اللاسلكية بأي حجم وتعقيد.

اختتام

في الحلول المستندة إلى وحدات التحكم Cisco Catalyst 9800 Series، أظهرت Cisco نتائج ممتازة في فئات التوفر العالي والأمان والأتمتة.

يلبي الحل بشكل كامل جميع متطلبات التوفر العالي مثل تجاوز الفشل في ثانية فرعية أثناء الأحداث غير المخطط لها وعدم التوقف عن العمل للأحداث المجدولة.

توفر وحدات التحكم في سلسلة Cisco Catalyst 9800 أمانًا شاملاً يوفر فحصًا عميقًا للحزم للتعرف على التطبيقات والتحكم فيها، ورؤية كاملة لتدفقات البيانات، وتحديد التهديدات المخفية في حركة المرور المشفرة، بالإضافة إلى آليات المصادقة والأمان المتقدمة لأجهزة العميل.

بالنسبة للأتمتة والتحليلات، توفر سلسلة Cisco Catalyst 9800 إمكانات قوية باستخدام النماذج القياسية الشائعة: YANG، وNETCONF، وRESTCONF، وواجهات برمجة التطبيقات التقليدية، ونصوص Python المدمجة.

وبذلك تؤكد شركة سيسكو مرة أخرى مكانتها كشركة رائدة عالميًا في مجال حلول الشبكات، ومواكبة العصر ومراعاة كافة تحديات الأعمال الحديثة.

لمزيد من المعلومات حول عائلة محولات Catalyst، تفضل بزيارة على الانترنت سيسكو.

المصدر: www.habr.com