Nəzarətçiniz varsa, problem yoxdur: simsiz şəbəkənizi necə asanlıqla saxlamaq olar

2019-cu ildə Miercom konsaltinq şirkəti Cisco Catalyst 6 seriyalı Wi-Fi 9800 kontrollerlərinin müstəqil texnoloji qiymətləndirilməsini həyata keçirib.Bu tədqiqat üçün Cisco Wi-Fi 6 nəzarətçiləri və giriş nöqtələrindən sınaq stendləri yığılıb və texniki həlli müəyyən edilib. aşağıdakı kateqoriyalar üzrə qiymətləndirilir:

• Mövcudluq;
• Təhlükəsizlik;
• Avtomatlaşdırma.

Tədqiqatın nəticələri aşağıda göstərilmişdir. 2019-cu ildən etibarən Cisco Catalyst 9800 seriyalı kontrollerlərin funksionallığı əhəmiyyətli dərəcədə təkmilləşdirilmişdir - bu məqamlar da bu məqalədə öz əksini tapmışdır.

Wi-Fi 6 texnologiyasının digər üstünlükləri, tətbiq nümunələri və tətbiq sahələri haqqında oxuya bilərsiniz burada.

Həll Baxışı

Wi-Fi 6 nəzarətçiləri Cisco Catalyst 9800 seriyası

IOS-XE əməliyyat sisteminə əsaslanan Cisco Catalyst 9800 Series Simsiz Kontrollerlər (həmçinin Cisco açarları və marşrutlaşdırıcıları üçün istifadə olunur) müxtəlif variantlarda mövcuddur.

9800-80 nəzarətçisinin köhnə modeli 80 Gbit/s-ə qədər simsiz şəbəkə ötürmə qabiliyyətini dəstəkləyir. Bir 9800-80 nəzarətçi 6000-ə qədər giriş nöqtəsini və 64-ə qədər simsiz müştərini dəstəkləyir.

Orta səviyyəli model, 9800-40 nəzarətçi, 40 Gbps-ə qədər ötürmə qabiliyyətini, 2000-ə qədər giriş nöqtəsini və 32-ə qədər simsiz müştərini dəstəkləyir.

Bu modellərə əlavə olaraq, rəqabətli təhlilə 9800-CL simsiz nəzarətçi də daxildir (CL Cloud deməkdir). 9800-CL VMWare ESXI və KVM hipervizorlarında virtual mühitlərdə işləyir və onun performansı nəzarətçi virtual maşını üçün ayrılmış avadanlıq resurslarından asılıdır. Maksimum konfiqurasiyada, Cisco 9800-CL nəzarətçisi, köhnə model 9800-80 kimi, 6000-ə qədər giriş nöqtəsi və 64-ə qədər simsiz müştərinin miqyasını dəstəkləyir.

Kontrollerlərlə tədqiqat apararkən, dinamik olaraq ikili 4800 GHz rejiminə keçmək imkanı ilə 2,4 və 5 GHz tezliklərində işləməyi dəstəkləyən Cisco Aironet AP 5 seriyalı giriş nöqtələrindən istifadə edilmişdir.

Test stendi

Sınaq çərçivəsində klasterdə işləyən iki Cisco Catalyst 9800-CL simsiz nəzarətçilərindən və Cisco Aironet AP 4800 seriyalı giriş nöqtələrindən stend yığılıb.

Müştəri cihazları kimi Dell və Apple-ın noutbukları, həmçinin Apple iPhone smartfonu istifadə edilib.

Əlçatanlıq Testi

Əlçatanlıq istifadəçilərin sistemə və ya xidmətə daxil olmaq və istifadə etmək imkanı kimi müəyyən edilir. Yüksək əlçatanlıq müəyyən hadisələrdən asılı olmayaraq sistem və ya xidmətə davamlı girişi nəzərdə tutur.

Yüksək əlçatanlıq dörd ssenaridə sınaqdan keçirilmişdir, ilk üç ssenari iş saatları ərzində və ya ondan sonra baş verə biləcək proqnozlaşdırıla bilən və ya planlaşdırılan hadisələrdir. Beşinci ssenari gözlənilməz hadisə olan klassik uğursuzluqdur.

Ssenarilərin təsviri:

• Səhvlərin düzəldilməsi – sistemin proqram təminatının tam yeniləməsi olmadan müəyyən bir səhv və ya zəifliyi düzəltməyə imkan verən sistemin mikro yenilənməsi (səhv və ya təhlükəsizlik yaması);
• Funksional yeniləmə – funksional yeniləmələri quraşdırmaqla sistemin cari funksionallığının əlavə edilməsi və ya genişləndirilməsi;
• Tam yeniləmə – nəzarətçinin proqram təminatının görüntüsünü yeniləyin;
• Giriş nöqtəsinin əlavə edilməsi – simsiz nəzarətçi proqramını yenidən konfiqurasiya etməyə və ya yeniləməyə ehtiyac olmadan simsiz şəbəkəyə yeni giriş nöqtəsi modelinin əlavə edilməsi;
• Uğursuzluq - simsiz nəzarətçinin uğursuzluğu.

Hataların və zəifliklərin düzəldilməsi

Çox vaxt, bir çox rəqabətli həllər ilə yamaq simsiz nəzarətçi sisteminin tam proqram təminatının yenilənməsini tələb edir ki, bu da planlaşdırılmamış fasilələrlə nəticələnə bilər. Cisco həlli vəziyyətində, yamaq məhsulu dayandırmadan həyata keçirilir. Simsiz infrastruktur işləməyə davam edərkən yamaqlar hər hansı komponentə quraşdırıla bilər.

Prosedurun özü olduqca sadədir. Yamaq faylı Cisco simsiz kontrollerlərindən birinin açılış qovluğuna kopyalanır və əməliyyat GUI və ya əmr xətti ilə təsdiqlənir. Bundan əlavə, siz həmçinin GUI və ya komanda xətti vasitəsilə sistemin işini dayandırmadan düzəlişi geri ala və silə bilərsiniz.

Funksional yeniləmə

Yeni funksiyaları aktivləşdirmək üçün funksional proqram yeniləmələri tətbiq edilir. Bu təkmilləşdirmələrdən biri proqram imzası verilənlər bazasının yenilənməsidir. Bu paket test olaraq Cisco kontrollerlərində quraşdırılıb. Yamaqlarda olduğu kimi, funksiya yeniləmələri heç bir fasilə və ya sistem kəsilməsi olmadan tətbiq edilir, quraşdırılır və ya silinir.

Tam yeniləmə

Hal-hazırda, nəzarətçinin proqram görüntüsünün tam yenilənməsi funksional yeniləmə ilə eyni şəkildə, yəni fasiləsiz həyata keçirilir. Bununla belə, bu funksiya yalnız birdən çox nəzarətçi olduqda klaster konfiqurasiyasında mövcuddur. Tam yeniləmə ardıcıl olaraq həyata keçirilir: əvvəlcə bir nəzarətçidə, sonra ikincidə.

Yeni giriş nöqtəsi modelinin əlavə edilməsi

Əvvəllər istifadə olunan nəzarətçi proqram təsviri ilə işlədilməyən yeni giriş nöqtələrinin simsiz şəbəkəyə qoşulması, xüsusən də böyük şəbəkələrdə (hava limanları, otellər, fabriklər) kifayət qədər geniş yayılmış əməliyyatdır. Çox vaxt rəqib həllərdə bu əməliyyat sistem proqram təminatının yenilənməsini və ya nəzarətçilərin yenidən işə salınmasını tələb edir.

Yeni Wi-Fi 6 giriş nöqtələrini Cisco Catalyst 9800 seriyalı kontrollerlər klasterinə birləşdirərkən belə problemlər müşahidə edilmir. Yeni nöqtələrin nəzarətçiyə qoşulması nəzarətçinin proqram təminatının yenilənməsi olmadan həyata keçirilir və bu proses reboot tələb etmir, beləliklə, simsiz şəbəkəyə heç bir şəkildə təsir göstərmir.

Nəzarətçinin nasazlığı

Test mühiti iki Wi-Fi 6 nəzarətçisindən (Active/StandBy) istifadə edir və giriş nöqtəsi hər iki nəzarətçi ilə birbaşa əlaqəyə malikdir.

Bir simsiz nəzarətçi aktivdir, digəri isə müvafiq olaraq ehtiyatdır. Aktiv nəzarətçi uğursuz olarsa, ehtiyat nəzarətçi öz üzərinə götürür və statusu aktivə dəyişir. Bu prosedur giriş nöqtəsi və müştərilər üçün Wi-Fi üçün fasiləsiz baş verir.

təhlükəsizlik

Bu bölmə simsiz şəbəkələrdə son dərəcə aktual problem olan təhlükəsizlik aspektlərini müzakirə edir. Həllin təhlükəsizliyi aşağıdakı xüsusiyyətlərə əsasən qiymətləndirilir:

• Tətbiqin tanınması;
• Axın izləmə;
• Şifrələnmiş trafikin təhlili;
• müdaxilənin aşkarlanması və qarşısının alınması;
• Doğrulama vasitələri;
• Müştəri cihazlarının qorunması vasitələri.

Tətbiqin tanınması

Müəssisə və sənaye Wi-Fi bazarındakı müxtəlif məhsullar arasında məhsulların tətbiqi ilə trafiki nə dərəcədə müəyyən etməsində fərqlər var. Müxtəlif istehsalçıların məhsulları müxtəlif sayda tətbiqləri müəyyən edə bilər. Bununla belə, rəqabətli həllərin identifikasiya üçün mümkün olduğu qədər sadaladığı proqramların bir çoxu, əslində, unikal tətbiqlər deyil, veb-saytlardır.

Tətbiqin tanınmasının başqa bir maraqlı xüsusiyyəti də var: həllər identifikasiya dəqiqliyində çox fərqlidir.

Aparılan bütün testləri nəzərə alaraq, məsuliyyətlə deyə bilərik ki, Cisco-nun Wi-Fi-6 həlli proqramların tanınmasını çox dəqiq yerinə yetirir: Jabber, Netflix, Dropbox, YouTube və digər populyar proqramlar, eləcə də veb xidmətləri dəqiq müəyyən edilib. Cisco həlləri həmçinin DPI (Dərin Paket Təftişi) istifadə edərək məlumat paketlərinə daha dərindən girə bilər.

Trafik axınının izlənməsi

Sistemin məlumat axınlarını (məsələn, böyük fayl hərəkətləri kimi) dəqiq şəkildə izləyə və hesabat verə biləcəyini yoxlamaq üçün başqa bir sınaq keçirildi. Bunu yoxlamaq üçün File Transfer Protocol (FTP) vasitəsilə şəbəkə üzərindən 6,5 meqabaytlıq fayl göndərilib.

Cisco həlli tapşırığa tam uyğun idi və NetFlow və onun aparat imkanları sayəsində bu trafiki izləyə bildi. Trafik aşkar edildi və ötürülən məlumatların dəqiq miqdarı ilə dərhal müəyyən edildi.

Şifrələnmiş trafik təhlili

İstifadəçi məlumat trafiki getdikcə daha çox şifrələnir. Bu, onu təcavüzkarlar tərəfindən izlənməkdən və ya ələ keçirməkdən qorumaq üçün edilir. Lakin eyni zamanda, hakerlər zərərli proqramlarını gizlətmək və Man-in-the-Middle (MiTM) və ya keylogging hücumları kimi digər şübhəli əməliyyatları həyata keçirmək üçün şifrələmədən getdikcə daha çox istifadə edirlər.

Əksər müəssisələr əvvəlcə təhlükəsizlik duvarları və ya müdaxilənin qarşısının alınması sistemlərindən istifadə etməklə şifrələnmiş trafikinin bir hissəsini yoxlayır. Amma bu proses çox vaxt aparır və bütövlükdə şəbəkənin işinə fayda vermir. Bundan əlavə, deşifrə edildikdən sonra bu məlumatlar maraqlı gözlərə qarşı həssas olur.

Cisco Catalyst 9800 Series nəzarətçiləri digər vasitələrlə şifrələnmiş trafikin təhlili problemini uğurla həll edir. Həll Şifrələnmiş Traffic Analytics (ETA) adlanır. ETA hazırda rəqabətli həllərdə analoqu olmayan və şifrələnmiş trafikdə zərərli proqram təminatının şifrəsini açmağa ehtiyac olmadan aşkar edən texnologiyadır. ETA, İOS-XE-nin əsas xüsusiyyətidir, ona Enhanced NetFlow daxildir və şifrələnmiş trafikdə gizlənən zərərli trafik nümunələrini müəyyən etmək üçün inkişaf etmiş davranış alqoritmlərindən istifadə edir.

ETA mesajların şifrəsini açmır, lakin şifrələnmiş trafik axınlarının metadata profillərini toplayır - paket ölçüsü, paketlər arasında vaxt intervalları və daha çox. Daha sonra metadata NetFlow v9 qeydlərində Cisco Stealthwatch-a ixrac olunur.

Stealthwatch-un əsas funksiyası trafikə daim nəzarət etmək, həmçinin normal şəbəkə fəaliyyətinin əsasını yaratmaqdır. ETA tərəfindən ona göndərilən şifrələnmiş axın metadatasından istifadə edərək, Stealthwatch şübhəli hadisələri göstərə biləcək davranış trafik anomaliyalarını müəyyən etmək üçün çoxqatlı maşın öyrənməsini tətbiq edir.

Keçən il Cisco Miercom-u Cisco Şifrələnmiş Trafik Analitikası həllini müstəqil olaraq qiymətləndirmək üçün cəlb etdi. Bu qiymətləndirmə zamanı Miercom təhdidləri müəyyən etmək üçün böyük ETA və qeyri-ETA şəbəkələri üzrə şifrələnmiş və şifrələnməmiş trafikdə məlum və naməlum təhlükələri (viruslar, troyanlar, ransomware) ayrıca göndərdi.

Test üçün hər iki şəbəkədə zərərli kod işə salınıb. Hər iki halda şübhəli fəaliyyət tədricən aşkar edilib. ETA şəbəkəsi ilkin olaraq təhdidləri ETA olmayan şəbəkədən 36% daha sürətli aşkar edib. Eyni zamanda iş getdikcə ETA şəbəkəsində aşkarlamanın məhsuldarlığı artmağa başladı. Nəticədə bir neçə saatlıq işdən sonra aktiv təhlükələrin üçdə ikisi ETA şəbəkəsində uğurla aşkar edilib ki, bu da ETA olmayan şəbəkə ilə müqayisədə iki dəfə çoxdur.

ETA funksionallığı Stealthwatch ilə yaxşı inteqrasiya olunub. Təhdidlər ciddilik dərəcəsinə görə sıralanır və təfərrüatlı məlumat, eləcə də təsdiq edildikdən sonra düzəliş variantları ilə göstərilir. Nəticə - ETA işləyir!

İntruziyanın aşkarlanması və qarşısının alınması

İndi Cisco başqa effektiv təhlükəsizlik alətinə malikdir - Cisco Advanced Wireless Intrusion Prevention System (aWIPS): simsiz şəbəkələrə qarşı təhlükələrin aşkarlanması və qarşısının alınması mexanizmi. aWIPS həlli nəzarətçilər, giriş nöqtələri və Cisco DNT Center idarəetmə proqramı səviyyəsində işləyir. Təhlükənin aşkarlanması, xəbərdar edilməsi və qarşısının alınması yüksək dəqiqlikli və qarşısı alına bilən simsiz təhlükələri çatdırmaq üçün şəbəkə trafikinin təhlilini, şəbəkə cihazı və şəbəkə topologiyası məlumatını, imzaya əsaslanan üsulları və anomaliyaların aşkar edilməsini birləşdirir.

aWIPS-i şəbəkə infrastrukturunuza tam inteqrasiya etməklə siz həm simli, həm də simsiz şəbəkələrdə simsiz trafikə davamlı olaraq nəzarət edə və mümkün olan ən əhatəli aşkarlama və qarşısının alınmasını təmin etmək üçün bir çox mənbədən potensial hücumları avtomatik təhlil etmək üçün ondan istifadə edə bilərsiniz.

Doğrulama deməkdir

Hazırda klassik autentifikasiya alətlərinə əlavə olaraq, Cisco Catalyst 9800 seriyası həlləri WPA3-ü dəstəkləyir. WPA3, Wi-Fi şəbəkələri üçün autentifikasiya və şifrələməni təmin edən protokollar və texnologiyalar dəsti olan WPA-nın ən son versiyasıdır.

WPA3, üçüncü tərəflərin parol təxmin etmə cəhdlərinə qarşı istifadəçilər üçün ən güclü müdafiəni təmin etmək üçün Bərabərlərin Sinxron Doğrulanmasından (SAE) istifadə edir. Müştəri giriş nöqtəsinə qoşulduqda SAE mübadiləsi həyata keçirir. Müvəffəqiyyətli olarsa, onların hər biri sessiya açarının alınacağı kriptoqrafik cəhətdən güclü açar yaradacaq və sonra onlar təsdiqləmə vəziyyətinə daxil olacaqlar. Müştəri və giriş nöqtəsi hər dəfə sessiya açarının yaradılmasına ehtiyac olduqda əl sıxma vəziyyətlərinə daxil ola bilər. Metod irəli məxfilikdən istifadə edir, burada təcavüzkar bir açarı sındıra bilər, lakin bütün digər açarları yox.

Yəni, SAE elə qurulmuşdur ki, trafikə müdaxilə edən təcavüzkar ələ keçirilən məlumat yararsız hala düşməzdən əvvəl parolu təxmin etmək üçün yalnız bir cəhdə malik olur. Uzun parol bərpasını təşkil etmək üçün sizə giriş nöqtəsinə fiziki giriş lazımdır.

Müştəri cihazının qorunması

Cisco Catalyst 9800 Series simsiz həlləri hazırda həm məlum, həm də yaranan təhdidlərin avtomatik aşkarlanması ilə DNS səviyyəsində fəaliyyət göstərən bulud əsaslı şəbəkə təhlükəsizliyi xidməti olan Cisco Umbrella WLAN vasitəsilə əsas müştəri müdafiəsi funksiyasını təmin edir.

Cisco Umbrella WLAN müştəri cihazlarını İnternetə təhlükəsiz qoşulma ilə təmin edir. Bu, məzmunun filtrasiyası ilə, yəni müəssisə siyasətinə uyğun olaraq İnternetdəki resurslara çıxışın bloklanması ilə əldə edilir. Beləliklə, İnternetdəki müştəri cihazları zərərli proqram, ransomware və fişinqdən qorunur. Siyasətlərin tətbiqi davamlı olaraq yenilənən 60 məzmun kateqoriyasına əsaslanır.

Avtomatlaşdırma

Bugünkü simsiz şəbəkələr daha çevik və mürəkkəbdir, ona görə də simsiz nəzarətçilərdən məlumatı konfiqurasiya etmək və əldə etmək üçün ənənəvi üsullar kifayət deyil. Şəbəkə administratorları və informasiya təhlükəsizliyi mütəxəssisləri avtomatlaşdırma və analitika üçün alətlər tələb edir ki, bu da simsiz təchizatçıları belə alətlər təklif etməyə sövq edir.

Bu problemləri həll etmək üçün Cisco Catalyst 9800 seriyalı simsiz kontrollerlər ənənəvi API ilə birlikdə YANG (Yet Another Next Generation) məlumat modelləşdirmə dili ilə RESTCONF / NETCONF şəbəkə konfiqurasiya protokoluna dəstək verir.

NETCONF XML əsaslı protokoldur ki, proqramlar məlumatı sorğulamaq və simsiz nəzarətçilər kimi şəbəkə cihazlarının konfiqurasiyasını dəyişmək üçün istifadə edə bilər.

Bu üsullara əlavə olaraq, Cisco Catalyst 9800 Series Controllers NetFlow və sFlow protokollarından istifadə edərək məlumat axını məlumatlarını tutmaq, əldə etmək və təhlil etmək imkanı verir.

Təhlükəsizlik və trafikin modelləşdirilməsi üçün xüsusi axınları izləmək imkanı dəyərli vasitədir. Bu problemi həll etmək üçün hər yüz paketdən iki paket tutmağa imkan verən sFlow protokolu tətbiq olundu. Ancaq bəzən bu, axını təhlil etmək və adekvat şəkildə öyrənmək və qiymətləndirmək üçün kifayət olmaya bilər. Buna görə də alternativ, Cisco tərəfindən həyata keçirilən NetFlow-dur ki, bu da bütün paketləri sonrakı təhlil üçün müəyyən bir axınla 100% toplamaq və ixrac etməyə imkan verir.

Bununla belə, yalnız Cisco Catalyst 9800 seriyalı kontrollerlərdə simsiz şəbəkənin işini avtomatlaşdırmağa imkan verən nəzarətçilərin aparat proqramında mövcud olan başqa bir xüsusiyyət, istifadə üçün əlavə olaraq Python dili üçün daxili dəstəkdir. skriptləri birbaşa simsiz nəzarətçinin özündə.

Nəhayət, Cisco Catalyst 9800 Series Controllers monitorinq və idarəetmə əməliyyatları üçün sübut edilmiş SNMP versiyası 1, 2 və 3 protokolunu dəstəkləyir.

Beləliklə, avtomatlaşdırma baxımından Cisco Catalyst 9800 Series həlləri istənilən ölçüdə və mürəkkəblikdə simsiz şəbəkələrdə avtomatlaşdırılmış əməliyyatlar və analitika üçün həm yeni, həm də unikal, həmçinin zamanla sınaqdan keçirilmiş alətlər təklif edərək müasir biznes tələblərinə tam cavab verir.

Nəticə

Cisco Catalyst 9800 Series Controllers əsasında həllərdə Cisco yüksək əlçatanlıq, təhlükəsizlik və avtomatlaşdırma kateqoriyalarında əla nəticələr nümayiş etdirdi.

Həll planlaşdırılmamış hadisələr zamanı saniyədən sonra əvəzetmə və planlaşdırılan hadisələr üçün sıfır dayanma vaxtı kimi bütün yüksək əlçatanlıq tələblərinə tam cavab verir.

Cisco Catalyst 9800 Seriya Nəzarətçiləri proqramların tanınması və idarə edilməsi üçün dərin paket yoxlamasını, məlumat axınlarının tam görünməsini və şifrələnmiş trafikdə gizlənmiş təhdidlərin müəyyən edilməsini, həmçinin müştəri cihazları üçün təkmil autentifikasiya və təhlükəsizlik mexanizmlərini təmin edən hərtərəfli təhlükəsizlik təmin edir.

Avtomatlaşdırma və analitika üçün Cisco Catalyst 9800 Series məşhur standart modellərdən istifadə etməklə güclü imkanlar təklif edir: YANG, NETCONF, RESTCONF, ənənəvi API-lər və daxili Python skriptləri.

Beləliklə, Cisco zamanla ayaqlaşan və müasir biznesin bütün çağırışlarını nəzərə alaraq şəbəkə həlləri üzrə dünyanın aparıcı istehsalçısı statusunu bir daha təsdiqləyir.

Catalyst keçid ailəsi haqqında ətraflı məlumat üçün ziyarət edin Online cisco.

Mənbə: www.habr.com

2019-cu ildə Miercom konsaltinq şirkəti Cisco Catalyst 6 seriyalı Wi-Fi 9800 kontrollerlərinin müstəqil texnoloji qiymətləndirilməsini həyata keçirib.Bu tədqiqat üçün Cisco Wi-Fi 6 nəzarətçiləri və giriş nöqtələrindən sınaq stendləri yığılıb və texniki həlli müəyyən edilib. aşağıdakı kateqoriyalar üzrə qiymətləndirilir:

• Mövcudluq;
• Təhlükəsizlik;
• Avtomatlaşdırma.

Tədqiqatın nəticələri aşağıda göstərilmişdir. 2019-cu ildən etibarən Cisco Catalyst 9800 seriyalı kontrollerlərin funksionallığı əhəmiyyətli dərəcədə təkmilləşdirilmişdir - bu məqamlar da bu məqalədə öz əksini tapmışdır.

Wi-Fi 6 texnologiyasının digər üstünlükləri, tətbiq nümunələri və tətbiq sahələri haqqında oxuya bilərsiniz burada.

Həll Baxışı

Wi-Fi 6 nəzarətçiləri Cisco Catalyst 9800 seriyası

IOS-XE əməliyyat sisteminə əsaslanan Cisco Catalyst 9800 Series Simsiz Kontrollerlər (həmçinin Cisco açarları və marşrutlaşdırıcıları üçün istifadə olunur) müxtəlif variantlarda mövcuddur.

9800-80 nəzarətçisinin köhnə modeli 80 Gbit/s-ə qədər simsiz şəbəkə ötürmə qabiliyyətini dəstəkləyir. Bir 9800-80 nəzarətçi 6000-ə qədər giriş nöqtəsini və 64-ə qədər simsiz müştərini dəstəkləyir.

Orta səviyyəli model, 9800-40 nəzarətçi, 40 Gbps-ə qədər ötürmə qabiliyyətini, 2000-ə qədər giriş nöqtəsini və 32-ə qədər simsiz müştərini dəstəkləyir.

Bu modellərə əlavə olaraq, rəqabətli təhlilə 9800-CL simsiz nəzarətçi də daxildir (CL Cloud deməkdir). 9800-CL VMWare ESXI və KVM hipervizorlarında virtual mühitlərdə işləyir və onun performansı nəzarətçi virtual maşını üçün ayrılmış avadanlıq resurslarından asılıdır. Maksimum konfiqurasiyada, Cisco 9800-CL nəzarətçisi, köhnə model 9800-80 kimi, 6000-ə qədər giriş nöqtəsi və 64-ə qədər simsiz müştərinin miqyasını dəstəkləyir.

Kontrollerlərlə tədqiqat apararkən, dinamik olaraq ikili 4800 GHz rejiminə keçmək imkanı ilə 2,4 və 5 GHz tezliklərində işləməyi dəstəkləyən Cisco Aironet AP 5 seriyalı giriş nöqtələrindən istifadə edilmişdir.

Test stendi

Sınaq çərçivəsində klasterdə işləyən iki Cisco Catalyst 9800-CL simsiz nəzarətçilərindən və Cisco Aironet AP 4800 seriyalı giriş nöqtələrindən stend yığılıb.

Müştəri cihazları kimi Dell və Apple-ın noutbukları, həmçinin Apple iPhone smartfonu istifadə edilib.

Əlçatanlıq Testi

Əlçatanlıq istifadəçilərin sistemə və ya xidmətə daxil olmaq və istifadə etmək imkanı kimi müəyyən edilir. Yüksək əlçatanlıq müəyyən hadisələrdən asılı olmayaraq sistem və ya xidmətə davamlı girişi nəzərdə tutur.

Yüksək əlçatanlıq dörd ssenaridə sınaqdan keçirilmişdir, ilk üç ssenari iş saatları ərzində və ya ondan sonra baş verə biləcək proqnozlaşdırıla bilən və ya planlaşdırılan hadisələrdir. Beşinci ssenari gözlənilməz hadisə olan klassik uğursuzluqdur.

Ssenarilərin təsviri:

• Səhvlərin düzəldilməsi – sistemin proqram təminatının tam yeniləməsi olmadan müəyyən bir səhv və ya zəifliyi düzəltməyə imkan verən sistemin mikro yenilənməsi (səhv və ya təhlükəsizlik yaması);
• Funksional yeniləmə – funksional yeniləmələri quraşdırmaqla sistemin cari funksionallığının əlavə edilməsi və ya genişləndirilməsi;
• Tam yeniləmə – nəzarətçinin proqram təminatının görüntüsünü yeniləyin;
• Giriş nöqtəsinin əlavə edilməsi – simsiz nəzarətçi proqramını yenidən konfiqurasiya etməyə və ya yeniləməyə ehtiyac olmadan simsiz şəbəkəyə yeni giriş nöqtəsi modelinin əlavə edilməsi;
• Uğursuzluq - simsiz nəzarətçinin uğursuzluğu.

Hataların və zəifliklərin düzəldilməsi

Çox vaxt, bir çox rəqabətli həllər ilə yamaq simsiz nəzarətçi sisteminin tam proqram təminatının yenilənməsini tələb edir ki, bu da planlaşdırılmamış fasilələrlə nəticələnə bilər. Cisco həlli vəziyyətində, yamaq məhsulu dayandırmadan həyata keçirilir. Simsiz infrastruktur işləməyə davam edərkən yamaqlar hər hansı komponentə quraşdırıla bilər.

Prosedurun özü olduqca sadədir. Yamaq faylı Cisco simsiz kontrollerlərindən birinin açılış qovluğuna kopyalanır və əməliyyat GUI və ya əmr xətti ilə təsdiqlənir. Bundan əlavə, siz həmçinin GUI və ya komanda xətti vasitəsilə sistemin işini dayandırmadan düzəlişi geri ala və silə bilərsiniz.

Funksional yeniləmə

Yeni funksiyaları aktivləşdirmək üçün funksional proqram yeniləmələri tətbiq edilir. Bu təkmilləşdirmələrdən biri proqram imzası verilənlər bazasının yenilənməsidir. Bu paket test olaraq Cisco kontrollerlərində quraşdırılıb. Yamaqlarda olduğu kimi, funksiya yeniləmələri heç bir fasilə və ya sistem kəsilməsi olmadan tətbiq edilir, quraşdırılır və ya silinir.

Tam yeniləmə

Hal-hazırda, nəzarətçinin proqram görüntüsünün tam yenilənməsi funksional yeniləmə ilə eyni şəkildə, yəni fasiləsiz həyata keçirilir. Bununla belə, bu funksiya yalnız birdən çox nəzarətçi olduqda klaster konfiqurasiyasında mövcuddur. Tam yeniləmə ardıcıl olaraq həyata keçirilir: əvvəlcə bir nəzarətçidə, sonra ikincidə.

Yeni giriş nöqtəsi modelinin əlavə edilməsi

Əvvəllər istifadə olunan nəzarətçi proqram təsviri ilə işlədilməyən yeni giriş nöqtələrinin simsiz şəbəkəyə qoşulması, xüsusən də böyük şəbəkələrdə (hava limanları, otellər, fabriklər) kifayət qədər geniş yayılmış əməliyyatdır. Çox vaxt rəqib həllərdə bu əməliyyat sistem proqram təminatının yenilənməsini və ya nəzarətçilərin yenidən işə salınmasını tələb edir.

Yeni Wi-Fi 6 giriş nöqtələrini Cisco Catalyst 9800 seriyalı kontrollerlər klasterinə birləşdirərkən belə problemlər müşahidə edilmir. Yeni nöqtələrin nəzarətçiyə qoşulması nəzarətçinin proqram təminatının yenilənməsi olmadan həyata keçirilir və bu proses reboot tələb etmir, beləliklə, simsiz şəbəkəyə heç bir şəkildə təsir göstərmir.

Nəzarətçinin nasazlığı

Test mühiti iki Wi-Fi 6 nəzarətçisindən (Active/StandBy) istifadə edir və giriş nöqtəsi hər iki nəzarətçi ilə birbaşa əlaqəyə malikdir.

Bir simsiz nəzarətçi aktivdir, digəri isə müvafiq olaraq ehtiyatdır. Aktiv nəzarətçi uğursuz olarsa, ehtiyat nəzarətçi öz üzərinə götürür və statusu aktivə dəyişir. Bu prosedur giriş nöqtəsi və müştərilər üçün Wi-Fi üçün fasiləsiz baş verir.

təhlükəsizlik

Bu bölmə simsiz şəbəkələrdə son dərəcə aktual problem olan təhlükəsizlik aspektlərini müzakirə edir. Həllin təhlükəsizliyi aşağıdakı xüsusiyyətlərə əsasən qiymətləndirilir:

• Tətbiqin tanınması;
• Axın izləmə;
• Şifrələnmiş trafikin təhlili;
• müdaxilənin aşkarlanması və qarşısının alınması;
• Doğrulama vasitələri;
• Müştəri cihazlarının qorunması vasitələri.

Tətbiqin tanınması

Müəssisə və sənaye Wi-Fi bazarındakı müxtəlif məhsullar arasında məhsulların tətbiqi ilə trafiki nə dərəcədə müəyyən etməsində fərqlər var. Müxtəlif istehsalçıların məhsulları müxtəlif sayda tətbiqləri müəyyən edə bilər. Bununla belə, rəqabətli həllərin identifikasiya üçün mümkün olduğu qədər sadaladığı proqramların bir çoxu, əslində, unikal tətbiqlər deyil, veb-saytlardır.

Tətbiqin tanınmasının başqa bir maraqlı xüsusiyyəti də var: həllər identifikasiya dəqiqliyində çox fərqlidir.

Aparılan bütün testləri nəzərə alaraq, məsuliyyətlə deyə bilərik ki, Cisco-nun Wi-Fi-6 həlli proqramların tanınmasını çox dəqiq yerinə yetirir: Jabber, Netflix, Dropbox, YouTube və digər populyar proqramlar, eləcə də veb xidmətləri dəqiq müəyyən edilib. Cisco həlləri həmçinin DPI (Dərin Paket Təftişi) istifadə edərək məlumat paketlərinə daha dərindən girə bilər.

Trafik axınının izlənməsi

Sistemin məlumat axınlarını (məsələn, böyük fayl hərəkətləri kimi) dəqiq şəkildə izləyə və hesabat verə biləcəyini yoxlamaq üçün başqa bir sınaq keçirildi. Bunu yoxlamaq üçün File Transfer Protocol (FTP) vasitəsilə şəbəkə üzərindən 6,5 meqabaytlıq fayl göndərilib.

Cisco həlli tapşırığa tam uyğun idi və NetFlow və onun aparat imkanları sayəsində bu trafiki izləyə bildi. Trafik aşkar edildi və ötürülən məlumatların dəqiq miqdarı ilə dərhal müəyyən edildi.

Şifrələnmiş trafik təhlili

İstifadəçi məlumat trafiki getdikcə daha çox şifrələnir. Bu, onu təcavüzkarlar tərəfindən izlənməkdən və ya ələ keçirməkdən qorumaq üçün edilir. Lakin eyni zamanda, hakerlər zərərli proqramlarını gizlətmək və Man-in-the-Middle (MiTM) və ya keylogging hücumları kimi digər şübhəli əməliyyatları həyata keçirmək üçün şifrələmədən getdikcə daha çox istifadə edirlər.

Əksər müəssisələr əvvəlcə təhlükəsizlik duvarları və ya müdaxilənin qarşısının alınması sistemlərindən istifadə etməklə şifrələnmiş trafikinin bir hissəsini yoxlayır. Amma bu proses çox vaxt aparır və bütövlükdə şəbəkənin işinə fayda vermir. Bundan əlavə, deşifrə edildikdən sonra bu məlumatlar maraqlı gözlərə qarşı həssas olur.

Cisco Catalyst 9800 Series nəzarətçiləri digər vasitələrlə şifrələnmiş trafikin təhlili problemini uğurla həll edir. Həll Şifrələnmiş Traffic Analytics (ETA) adlanır. ETA hazırda rəqabətli həllərdə analoqu olmayan və şifrələnmiş trafikdə zərərli proqram təminatının şifrəsini açmağa ehtiyac olmadan aşkar edən texnologiyadır. ETA, İOS-XE-nin əsas xüsusiyyətidir, ona Enhanced NetFlow daxildir və şifrələnmiş trafikdə gizlənən zərərli trafik nümunələrini müəyyən etmək üçün inkişaf etmiş davranış alqoritmlərindən istifadə edir.

ETA mesajların şifrəsini açmır, lakin şifrələnmiş trafik axınlarının metadata profillərini toplayır - paket ölçüsü, paketlər arasında vaxt intervalları və daha çox. Daha sonra metadata NetFlow v9 qeydlərində Cisco Stealthwatch-a ixrac olunur.

Stealthwatch-un əsas funksiyası trafikə daim nəzarət etmək, həmçinin normal şəbəkə fəaliyyətinin əsasını yaratmaqdır. ETA tərəfindən ona göndərilən şifrələnmiş axın metadatasından istifadə edərək, Stealthwatch şübhəli hadisələri göstərə biləcək davranış trafik anomaliyalarını müəyyən etmək üçün çoxqatlı maşın öyrənməsini tətbiq edir.

Keçən il Cisco Miercom-u Cisco Şifrələnmiş Trafik Analitikası həllini müstəqil olaraq qiymətləndirmək üçün cəlb etdi. Bu qiymətləndirmə zamanı Miercom təhdidləri müəyyən etmək üçün böyük ETA və qeyri-ETA şəbəkələri üzrə şifrələnmiş və şifrələnməmiş trafikdə məlum və naməlum təhlükələri (viruslar, troyanlar, ransomware) ayrıca göndərdi.

Test üçün hər iki şəbəkədə zərərli kod işə salınıb. Hər iki halda şübhəli fəaliyyət tədricən aşkar edilib. ETA şəbəkəsi ilkin olaraq təhdidləri ETA olmayan şəbəkədən 36% daha sürətli aşkar edib. Eyni zamanda iş getdikcə ETA şəbəkəsində aşkarlamanın məhsuldarlığı artmağa başladı. Nəticədə bir neçə saatlıq işdən sonra aktiv təhlükələrin üçdə ikisi ETA şəbəkəsində uğurla aşkar edilib ki, bu da ETA olmayan şəbəkə ilə müqayisədə iki dəfə çoxdur.

ETA funksionallığı Stealthwatch ilə yaxşı inteqrasiya olunub. Təhdidlər ciddilik dərəcəsinə görə sıralanır və təfərrüatlı məlumat, eləcə də təsdiq edildikdən sonra düzəliş variantları ilə göstərilir. Nəticə - ETA işləyir!

İntruziyanın aşkarlanması və qarşısının alınması

İndi Cisco başqa effektiv təhlükəsizlik alətinə malikdir - Cisco Advanced Wireless Intrusion Prevention System (aWIPS): simsiz şəbəkələrə qarşı təhlükələrin aşkarlanması və qarşısının alınması mexanizmi. aWIPS həlli nəzarətçilər, giriş nöqtələri və Cisco DNT Center idarəetmə proqramı səviyyəsində işləyir. Təhlükənin aşkarlanması, xəbərdar edilməsi və qarşısının alınması yüksək dəqiqlikli və qarşısı alına bilən simsiz təhlükələri çatdırmaq üçün şəbəkə trafikinin təhlilini, şəbəkə cihazı və şəbəkə topologiyası məlumatını, imzaya əsaslanan üsulları və anomaliyaların aşkar edilməsini birləşdirir.

aWIPS-i şəbəkə infrastrukturunuza tam inteqrasiya etməklə siz həm simli, həm də simsiz şəbəkələrdə simsiz trafikə davamlı olaraq nəzarət edə və mümkün olan ən əhatəli aşkarlama və qarşısının alınmasını təmin etmək üçün bir çox mənbədən potensial hücumları avtomatik təhlil etmək üçün ondan istifadə edə bilərsiniz.

Doğrulama deməkdir

Hazırda klassik autentifikasiya alətlərinə əlavə olaraq, Cisco Catalyst 9800 seriyası həlləri WPA3-ü dəstəkləyir. WPA3, Wi-Fi şəbəkələri üçün autentifikasiya və şifrələməni təmin edən protokollar və texnologiyalar dəsti olan WPA-nın ən son versiyasıdır.

WPA3, üçüncü tərəflərin parol təxmin etmə cəhdlərinə qarşı istifadəçilər üçün ən güclü müdafiəni təmin etmək üçün Bərabərlərin Sinxron Doğrulanmasından (SAE) istifadə edir. Müştəri giriş nöqtəsinə qoşulduqda SAE mübadiləsi həyata keçirir. Müvəffəqiyyətli olarsa, onların hər biri sessiya açarının alınacağı kriptoqrafik cəhətdən güclü açar yaradacaq və sonra onlar təsdiqləmə vəziyyətinə daxil olacaqlar. Müştəri və giriş nöqtəsi hər dəfə sessiya açarının yaradılmasına ehtiyac olduqda əl sıxma vəziyyətlərinə daxil ola bilər. Metod irəli məxfilikdən istifadə edir, burada təcavüzkar bir açarı sındıra bilər, lakin bütün digər açarları yox.

Yəni, SAE elə qurulmuşdur ki, trafikə müdaxilə edən təcavüzkar ələ keçirilən məlumat yararsız hala düşməzdən əvvəl parolu təxmin etmək üçün yalnız bir cəhdə malik olur. Uzun parol bərpasını təşkil etmək üçün sizə giriş nöqtəsinə fiziki giriş lazımdır.

Müştəri cihazının qorunması

Cisco Catalyst 9800 Series simsiz həlləri hazırda həm məlum, həm də yaranan təhdidlərin avtomatik aşkarlanması ilə DNS səviyyəsində fəaliyyət göstərən bulud əsaslı şəbəkə təhlükəsizliyi xidməti olan Cisco Umbrella WLAN vasitəsilə əsas müştəri müdafiəsi funksiyasını təmin edir.

Cisco Umbrella WLAN müştəri cihazlarını İnternetə təhlükəsiz qoşulma ilə təmin edir. Bu, məzmunun filtrasiyası ilə, yəni müəssisə siyasətinə uyğun olaraq İnternetdəki resurslara çıxışın bloklanması ilə əldə edilir. Beləliklə, İnternetdəki müştəri cihazları zərərli proqram, ransomware və fişinqdən qorunur. Siyasətlərin tətbiqi davamlı olaraq yenilənən 60 məzmun kateqoriyasına əsaslanır.

Avtomatlaşdırma

Bugünkü simsiz şəbəkələr daha çevik və mürəkkəbdir, ona görə də simsiz nəzarətçilərdən məlumatı konfiqurasiya etmək və əldə etmək üçün ənənəvi üsullar kifayət deyil. Şəbəkə administratorları və informasiya təhlükəsizliyi mütəxəssisləri avtomatlaşdırma və analitika üçün alətlər tələb edir ki, bu da simsiz təchizatçıları belə alətlər təklif etməyə sövq edir.

Bu problemləri həll etmək üçün Cisco Catalyst 9800 seriyalı simsiz kontrollerlər ənənəvi API ilə birlikdə YANG (Yet Another Next Generation) məlumat modelləşdirmə dili ilə RESTCONF / NETCONF şəbəkə konfiqurasiya protokoluna dəstək verir.

NETCONF XML əsaslı protokoldur ki, proqramlar məlumatı sorğulamaq və simsiz nəzarətçilər kimi şəbəkə cihazlarının konfiqurasiyasını dəyişmək üçün istifadə edə bilər.

Bu üsullara əlavə olaraq, Cisco Catalyst 9800 Series Controllers NetFlow və sFlow protokollarından istifadə edərək məlumat axını məlumatlarını tutmaq, əldə etmək və təhlil etmək imkanı verir.

Təhlükəsizlik və trafikin modelləşdirilməsi üçün xüsusi axınları izləmək imkanı dəyərli vasitədir. Bu problemi həll etmək üçün hər yüz paketdən iki paket tutmağa imkan verən sFlow protokolu tətbiq olundu. Ancaq bəzən bu, axını təhlil etmək və adekvat şəkildə öyrənmək və qiymətləndirmək üçün kifayət olmaya bilər. Buna görə də alternativ, Cisco tərəfindən həyata keçirilən NetFlow-dur ki, bu da bütün paketləri sonrakı təhlil üçün müəyyən bir axınla 100% toplamaq və ixrac etməyə imkan verir.

Bununla belə, yalnız Cisco Catalyst 9800 seriyalı kontrollerlərdə simsiz şəbəkənin işini avtomatlaşdırmağa imkan verən nəzarətçilərin aparat proqramında mövcud olan başqa bir xüsusiyyət, istifadə üçün əlavə olaraq Python dili üçün daxili dəstəkdir. skriptləri birbaşa simsiz nəzarətçinin özündə.

Nəhayət, Cisco Catalyst 9800 Series Controllers monitorinq və idarəetmə əməliyyatları üçün sübut edilmiş SNMP versiyası 1, 2 və 3 protokolunu dəstəkləyir.

Beləliklə, avtomatlaşdırma baxımından Cisco Catalyst 9800 Series həlləri istənilən ölçüdə və mürəkkəblikdə simsiz şəbəkələrdə avtomatlaşdırılmış əməliyyatlar və analitika üçün həm yeni, həm də unikal, həmçinin zamanla sınaqdan keçirilmiş alətlər təklif edərək müasir biznes tələblərinə tam cavab verir.

Nəticə

Cisco Catalyst 9800 Series Controllers əsasında həllərdə Cisco yüksək əlçatanlıq, təhlükəsizlik və avtomatlaşdırma kateqoriyalarında əla nəticələr nümayiş etdirdi.

Həll planlaşdırılmamış hadisələr zamanı saniyədən sonra əvəzetmə və planlaşdırılan hadisələr üçün sıfır dayanma vaxtı kimi bütün yüksək əlçatanlıq tələblərinə tam cavab verir.

Cisco Catalyst 9800 Seriya Nəzarətçiləri proqramların tanınması və idarə edilməsi üçün dərin paket yoxlamasını, məlumat axınlarının tam görünməsini və şifrələnmiş trafikdə gizlənmiş təhdidlərin müəyyən edilməsini, həmçinin müştəri cihazları üçün təkmil autentifikasiya və təhlükəsizlik mexanizmlərini təmin edən hərtərəfli təhlükəsizlik təmin edir.

Avtomatlaşdırma və analitika üçün Cisco Catalyst 9800 Series məşhur standart modellərdən istifadə etməklə güclü imkanlar təklif edir: YANG, NETCONF, RESTCONF, ənənəvi API-lər və daxili Python skriptləri.

Beləliklə, Cisco zamanla ayaqlaşan və müasir biznesin bütün çağırışlarını nəzərə alaraq şəbəkə həlləri üzrə dünyanın aparıcı istehsalçısı statusunu bir daha təsdiqləyir.

Catalyst keçid ailəsi haqqında ətraflı məlumat üçün ziyarət edin Online cisco.

Mənbə: www.habr.com