Kon ikaw adunay usa ka controller, walay problema: sa unsa nga paagi sa dali nga pagmintinar sa imong wireless network

Sa 2019, ang consulting company nga Miercom nagpahigayon sa usa ka independenteng teknolohikal nga pagtasa sa Wi-Fi 6 controllers sa Cisco Catalyst 9800 series. Alang niini nga pagtuon, usa ka test bench ang gitigum gikan sa Cisco Wi-Fi 6 controllers ug access point, ug ang teknikal nga solusyon mao ang gi-assess sa mosunod nga mga kategorya:

• Anaa;
• Kasegurohan;
• Automation.

Ang mga resulta sa pagtuon gipakita sa ubos. Sukad sa 2019, ang pag-andar sa Cisco Catalyst 9800 series controllers labi nga gipauswag - kini nga mga punto gipakita usab sa kini nga artikulo.

Mahimo nimong mabasa ang bahin sa ubang mga bentaha sa teknolohiya sa Wi-Fi 6, mga pananglitan sa pagpatuman ug mga lugar sa aplikasyon dinhi.

Overview sa solusyon

Ang Wi-Fi 6 controllers Cisco Catalyst 9800 series

Ang Cisco Catalyst 9800 Series Wireless Controllers, base sa IOS-XE operating system (gigamit usab alang sa Cisco switch ug routers), anaa sa lain-laing mga opsyon.

Ang karaan nga modelo sa 9800-80 controller nagsuporta sa wireless network throughput hangtod sa 80 Gbps. Ang usa ka 9800-80 controller nagsuporta hangtod sa 6000 ka mga access point ug hangtod sa 64 ka mga wireless nga kliyente.

Ang mid-range nga modelo, ang 9800-40 controller, nagsuporta hangtod sa 40 Gbps throughput, hangtod sa 2000 ka mga access point ug hangtod sa 32 ka mga wireless nga kliyente.

Dugang pa niini nga mga modelo, ang competitive analysis naglakip usab sa 9800-CL wireless controller (CL stands for Cloud). Ang 9800-CL nagdagan sa mga virtual nga palibot sa VMWare ESXI ug KVM hypervisors, ug ang pasundayag niini nagdepende sa gipahinungod nga kahinguhaan sa hardware alang sa controller virtual machine. Sa kinatas-an nga configuration niini, ang Cisco 9800-CL controller, sama sa mas karaan nga modelo nga 9800-80, nagsuporta sa scalability hangtod sa 6000 ka access point ug hangtod sa 64 ka wireless nga kliyente.

Kung nagdumala sa panukiduki uban ang mga controller, gigamit ang Cisco Aironet AP 4800 series nga mga access point, nga nagsuporta sa operasyon sa mga frequency nga 2,4 ug 5 GHz nga adunay abilidad sa dinamikong pagbalhin sa dual 5-GHz mode.

pagsulay stand

Isip bahin sa pagsulay, usa ka baroganan ang gitigom gikan sa duha ka Cisco Catalyst 9800-CL wireless controllers nga naglihok sa usa ka cluster ug Cisco Aironet AP 4800 series access points.

Ang mga laptop gikan sa Dell ug Apple, ingon man usa ka Apple iPhone nga smartphone, gigamit ingon mga aparato sa kliyente.

Pagsulay sa Accessibility

Ang pagkaanaa gihubit ingon ang katakus sa mga tiggamit sa pag-access ug paggamit sa usa ka sistema o serbisyo. Ang taas nga pagkaanaa nagpasabot sa padayon nga pag-access sa usa ka sistema o serbisyo, nga independente sa pipila ka mga panghitabo.

Ang taas nga pagkaanaa gisulayan sa upat nga mga senaryo, ang una nga tulo nga mga senaryo nga matag-an o gikatakda nga mga panghitabo nga mahimong mahitabo sa panahon o pagkahuman sa oras sa negosyo. Ang ikalima nga senaryo usa ka klasiko nga kapakyasan, nga usa ka dili matag-an nga panghitabo.

Deskripsyon sa mga senaryo:

• Pagtul-id sa sayup – usa ka micro-update sa sistema (bugfix o security patch), nga nagtugot kanimo sa pag-ayo sa usa ka partikular nga sayup o pagkahuyang nga wala’y kompleto nga pag-update sa software sa sistema;
• Functional update – pagdugang o pagpalapad sa kasamtangan nga functionality sa sistema pinaagi sa pag-instalar sa functional updates;
• Bug-os nga pag-update - i-update ang imahe sa software sa controller;
• Pagdugang og access point – pagdugang og bag-ong modelo sa access point sa wireless network nga dili kinahanglan nga i-configure o i-update ang wireless controller software;
• Kapakyasan—pagkapakyas sa wireless controller.

Pag-ayo sa mga bug ug mga kahuyangan

Kasagaran, sa daghang mga solusyon sa kompetisyon, ang pag-patching nanginahanglan usa ka kompleto nga pag-update sa software sa sistema sa wireless controller, nga mahimong moresulta sa wala giplano nga downtime. Sa kaso sa solusyon sa Cisco, ang pag-patching gihimo nga wala’y paghunong sa produkto. Ang mga patch mahimong ma-install sa bisan unsang mga sangkap samtang ang wireless nga imprastraktura nagpadayon sa paglihok.

Ang pamaagi mismo yano ra. Ang patch file gikopya sa bootstrap folder sa usa sa Cisco wireless controllers, ug ang operasyon gikumpirma pinaagi sa GUI o command line. Dugang pa, mahimo usab nimo nga i-undo ug tangtangon ang pag-ayo pinaagi sa GUI o command line, nga dili usab makabalda sa operasyon sa sistema.

Functional nga update

Ang mga pag-update sa functional nga software gipadapat aron mahimo ang mga bag-ong gimbuhaton. Usa niini nga mga kalamboan mao ang pag-update sa application signature database. Kini nga pakete gi-install sa mga controller sa Cisco ingon usa ka pagsulay. Sama sa mga patch, ang mga update sa feature gipadapat, gi-install, o gitangtang nga walay bisan unsang downtime o pagkabalda sa sistema.

Bug-os nga update

Sa pagkakaron, ang usa ka bug-os nga pag-update sa imahe sa controller software gihimo sa parehas nga paagi sama sa usa ka functional update, nga mao, nga walay downtime. Bisan pa, kini nga bahin magamit lamang sa usa ka configuration sa cluster kung adunay labaw sa usa ka controller. Ang usa ka kompleto nga pag-update gihimo nga sunud-sunod: una sa usa ka controller, dayon sa ikaduha.

Pagdugang ug bag-ong modelo sa access point

Ang pagkonektar sa bag-ong mga access point, nga wala pa magamit kaniadto gamit ang controller software image nga gigamit, ngadto sa wireless network usa ka komon nga operasyon, ilabi na sa dagkong mga network (airport, hotel, pabrika). Kasagaran sa mga solusyon sa kakompetensya, kini nga operasyon nanginahanglan pag-update sa software sa sistema o pag-reboot sa mga controller.

Kung nagkonektar sa bag-ong Wi-Fi 6 nga mga punto sa pag-access sa usa ka pungpong sa Cisco Catalyst 9800 series controllers, walay ingon nga mga problema nga naobserbahan. Ang pagkonektar sa bag-ong mga punto ngadto sa controller gihimo nga walay pag-update sa controller software, ug kini nga proseso wala magkinahanglan og reboot, sa ingon dili makaapekto sa wireless network sa bisan unsang paagi.

Pagkapakyas sa controller

Ang palibot sa pagsulay naggamit sa duha ka Wi-Fi 6 controllers (Active/StandBy) ug ang access point adunay direktang koneksyon sa duha ka controllers.

Ang usa ka wireless controller aktibo, ug ang lain, matag usa, mao ang backup. Kung mapakyas ang aktibong controller, ang backup controller ang mopuli ug ang status niini mausab ngadto sa aktibo. Kini nga pamaagi mahitabo nga walay hunong alang sa access point ug Wi-Fi alang sa mga kliyente.

Kasegurohan

Kini nga seksyon naghisgot sa mga aspeto sa seguridad, nga usa ka hilabihan ka dinalian nga isyu sa mga wireless network. Ang seguridad sa solusyon gisusi base sa mosunod nga mga kinaiya:

• Pag-ila sa aplikasyon;
• Pagsubay sa agos;
• Pagtuki sa naka-encrypt nga trapiko;
• Intrusion detection ug pagpugong;
• Ang authentication nagpasabot;
• Mga himan sa pagpanalipod sa device sa kliyente.

Pag-ila sa aplikasyon

Taliwala sa lainlaing mga produkto sa negosyo ug industriyal nga merkado sa Wi-Fi, adunay mga kalainan kung unsa ka maayo ang pag-ila sa mga produkto sa trapiko pinaagi sa aplikasyon. Ang mga produkto gikan sa lainlaing mga tiggama mahimong makaila sa lainlaing gidaghanon sa mga aplikasyon. Bisan pa, daghan sa mga aplikasyon nga gilista sa mga solusyon sa kompetisyon kutob sa mahimo alang sa pag-ila, sa tinuud, mga website, ug dili talagsaon nga mga aplikasyon.

Adunay lain nga makapaikag nga bahin sa pag-ila sa aplikasyon: ang mga solusyon magkalainlain kaayo sa katukma sa pag-ila.

Gikonsiderar ang tanan nga mga pagsulay nga gihimo, mahimo namon nga responsable nga ipahayag nga ang solusyon sa Wi-Fi-6 sa Cisco naghimo sa pag-ila sa aplikasyon nga tukma kaayo: Jabber, Netflix, Dropbox, YouTube ug uban pang mga sikat nga aplikasyon, ingon man mga serbisyo sa web, tukma nga giila. Ang mga solusyon sa Cisco mahimo usab nga mas lawom sa mga pakete sa datos gamit ang DPI (Deep Packet Inspection).

Pagsubay sa dagan sa trapiko

Ang laing pagsulay gihimo aron makita kung ang sistema makasubay ba ug makareport sa mga agos sa datos (sama sa dagkong mga paglihok sa file). Aron sulayan kini, usa ka 6,5 megabyte nga file ang gipadala sa network gamit ang File Transfer Protocol (FTP).

Ang solusyon sa Cisco hingpit nga naa sa buluhaton ug nakahimo sa pagsubay niini nga trapiko salamat sa NetFlow ug sa mga kapabilidad sa hardware niini. Ang trapiko nakit-an ug nahibal-an dayon sa eksaktong gidaghanon sa datos nga gibalhin.

Naka-encrypt nga pagtuki sa trapiko

Ang trapiko sa datos sa tiggamit labi nga gi-encrypt. Gihimo kini aron mapanalipdan kini nga dili masubay o ma-intercept sa mga tig-atake. Apan sa samang higayon, ang mga hacker nagkadaghang naggamit ug encryption aron itago ang ilang malware ug ipahigayon ang uban pang mga kadudahang operasyon sama sa Man-in-the-Middle (MiTM) o keylogging attacks.

Kadaghanan sa mga negosyo nag-inspeksyon sa pipila sa ilang na-encrypt nga trapiko pinaagi sa una nga pag-decrypt niini gamit ang mga firewall o mga sistema sa pagpugong sa pagsulod. Apan kini nga proseso nagkinahanglan og daghang panahon ug dili makabenepisyo sa performance sa network sa kinatibuk-an. Dugang pa, sa higayon nga ma-decrypted, kini nga data mahimong bulnerable sa prying mata.

Ang mga tigkontrol sa Cisco Catalyst 9800 Series malampuson nga nakasulbad sa problema sa pag-analisar sa naka-encrypt nga trapiko sa laing paagi. Ang solusyon gitawag nga Encrypted Traffic Analytics (ETA). Ang ETA usa ka teknolohiya nga sa pagkakaron walay mga analogue sa mga solusyon sa kompetisyon ug nga nakamatikod sa malware sa naka-encrypt nga trapiko nga dili kinahanglan nga i-decrypt kini. Ang ETA usa ka kinauyokan nga bahin sa IOS-XE nga naglakip sa Enhanced NetFlow ug naggamit sa mga advanced nga algorithm sa pamatasan aron mahibal-an ang makadaot nga mga pattern sa trapiko nga nagtago sa naka-encrypt nga trapiko.

Wala gi-decrypt sa ETA ang mga mensahe, apan gikolekta ang mga profile sa metadata sa mga na-encrypt nga daloy sa trapiko - gidak-on sa pakete, mga agwat sa oras tali sa mga pakete, ug daghan pa. Ang metadata dayon gi-eksport sa NetFlow v9 nga mga rekord sa Cisco Stealthwatch.

Ang yawe nga gimbuhaton sa Stealthwatch mao ang kanunay nga pag-monitor sa trapiko, ingon man paghimo og baseline sa normal nga kalihokan sa network. Gamit ang naka-encrypt nga stream metadata nga gipadala niini sa ETA, ang Stealthwatch nag-aplay sa multi-layered machine learning aron mahibal-an ang mga anomaliya sa trapiko sa pamatasan nga mahimong magpakita sa mga kadudahang panghitabo.

Sa miaging tuig, ang Cisco nakiglambigit sa Miercom aron independente nga magtimbang-timbang sa solusyon sa Cisco Encrypted Traffic Analytics. Atol niini nga pagtasa, ang Miercom gilain nga nagpadala sa nahibal-an ug wala mailhi nga mga hulga (mga virus, Trojans, ransomware) sa naka-encrypt ug dili naka-encrypt nga trapiko sa dagkong mga network sa ETA ug dili ETA aron mailhan ang mga hulga.

Alang sa pagsulay, ang malisyosong code gilunsad sa duha ka network. Sa duha ka mga kaso, ang kadudahang kalihokan anam-anam nga nadiskobrehan. Ang network sa ETA sa sinugdan nakamatikod sa mga hulga nga 36% nga mas paspas kaysa sa network nga dili ETA. Sa parehas nga oras, samtang nagpadayon ang trabaho, ang pagka-produktibo sa pagkakita sa network sa ETA nagsugod sa pagdugang. Ingon usa ka sangputanan, pagkahuman sa daghang oras nga pagtrabaho, duha sa ikatulo nga bahin sa aktibo nga mga hulga ang malampuson nga nakit-an sa network sa ETA, nga doble nga doble kaysa sa network nga dili ETA.

Ang pag-andar sa ETA maayo nga gisagol sa Stealthwatch. Ang mga hulga giranggo sumala sa kagrabe ug gipakita uban ang detalyado nga kasayuran, ingon man ang mga kapilian sa pag-ayo sa higayon nga nakumpirma. Konklusyon - Ang ETA nagtrabaho!

Pagsusi ug pagpugong sa pagsulod

Ang Cisco karon adunay laing epektibo nga himan sa seguridad - ang Cisco Advanced Wireless Intrusion Prevention System (aWIPS): usa ka mekanismo sa pag-ila ug pagpugong sa mga hulga sa mga wireless network. Ang solusyon sa aWIPS naglihok sa lebel sa mga controller, access point ug Cisco DNA Center management software. Ang pagtuki sa hulga, pag-alerto, ug pagpugong naghiusa sa pag-analisa sa trapiko sa network, aparato sa network ug impormasyon sa topolohiya sa network, mga teknik nga gibase sa pirma, ug pagtuki sa anomaliya aron mahatagan ang tukma ug mapugngan nga mga hulga sa wireless.

Ang bug-os nga pag-integrate sa aWIPS sa imong network infrastructure, mahimo nimong padayon nga mamonitor ang wireless nga trapiko sa wired ug wireless networks ug gamiton kini aron awtomatiko nga analisahon ang mga potensyal nga pag-atake gikan sa daghang mga tinubdan aron mahatagan ang labing komprehensibo nga pagkakita ug pagpugong nga posible.

Ang authentication nagpasabot

Sa pagkakaron, dugang sa klasiko nga mga himan sa pag-authenticate, ang Cisco Catalyst 9800 series nga mga solusyon nagsuporta sa WPA3. Ang WPA3 mao ang pinakabag-o nga bersyon sa WPA, nga usa ka hugpong sa mga protocol ug teknolohiya nga naghatag og authentication ug encryption alang sa mga Wi-Fi network.

Gigamit sa WPA3 ang Simultaneous Authentication of Equals (SAE) aron mahatagan ang labing kusog nga proteksyon sa mga tiggamit batok sa pagsulay sa pagtag-an sa password sa mga ikatulo nga partido. Kung ang usa ka kliyente nagkonektar sa usa ka access point, naghimo kini usa ka pagbinayloay sa SAE. Kung magmalampuson, ang matag usa kanila maghimo usa ka kusgan nga cryptographic nga yawe diin makuha ang yawe sa sesyon, ug dayon mosulod sila sa estado sa pagkumpirma. Ang kliyente ug access point mahimo dayon nga mosulod sa mga estado sa handshake sa matag higayon nga kinahanglan nga mamugna ang usa ka yawe sa sesyon. Ang pamaagi naggamit sa forward secrecy, diin ang usa ka tig-atake mahimong maka-crack sa usa ka yawe, apan dili sa tanan nga uban nga mga yawe.

Sa ato pa, ang SAE gidisenyo sa paagi nga ang usa ka tig-atake nga nagpugong sa trapiko adunay usa lamang ka pagsulay sa pagtag-an sa password sa dili pa ang natanggong nga datos mahimong walay kapuslanan. Aron maorganisar ang usa ka taas nga pagbawi sa password, kinahanglan nimo ang pisikal nga pag-access sa access point.

Proteksyon sa device sa kliyente

Ang Cisco Catalyst 9800 Series nga mga wireless nga solusyon sa pagkakaron naghatag sa nag-unang bahin sa pagpanalipod sa kustomer pinaagi sa Cisco Umbrella WLAN, usa ka cloud-based nga network security nga serbisyo nga naglihok sa lebel sa DNS nga adunay awtomatik nga pag-ila sa nailhan ug mitumaw nga mga hulga.

Ang Cisco Umbrella WLAN naghatag og mga device sa kliyente og luwas nga koneksyon sa Internet. Kini makab-ot pinaagi sa pagsala sa sulod, nga mao, pinaagi sa pagbabag sa pag-access sa mga kapanguhaan sa Internet sumala sa palisiya sa negosyo. Busa, ang mga device sa kliyente sa Internet gipanalipdan gikan sa malware, ransomware, ug phishing. Ang pagpatuman sa palisiya gibase sa 60 nga padayon nga gi-update nga mga kategorya sa sulud.

Automation

Ang mga wireless network karon labi ka dali ug komplikado, busa ang tradisyonal nga mga pamaagi sa pag-configure ug pagkuha sa kasayuran gikan sa mga wireless controller dili igo. Ang mga tigdumala sa network ug mga propesyonal sa seguridad sa impormasyon nanginahanglan mga himan alang sa automation ug analytics, nga nag-aghat sa mga wireless vendor sa pagtanyag sa ingon nga mga himan.

Aron masulbad kini nga mga problema, ang Cisco Catalyst 9800 series wireless controllers, uban sa tradisyonal nga API, naghatag suporta alang sa RESTCONF / NETCONF network configuration protocol uban sa YANG (Yet Another Next Generation) data modeling language.

Ang NETCONF usa ka XML-based nga protocol nga magamit sa mga aplikasyon sa pagpangutana sa impormasyon ug pag-usab sa configuration sa network device sama sa wireless controllers.

Dugang pa niini nga mga pamaagi, ang Cisco Catalyst 9800 Series Controllers naghatag og abilidad sa pagkuha, pagbawi, ug pag-analisar sa datos sa dagan sa impormasyon gamit ang NetFlow ug sFlow nga mga protocol.

Alang sa seguridad ug pagmodelo sa trapiko, ang abilidad sa pagsubay sa piho nga mga dagan usa ka bililhon nga himan. Aron masulbad kini nga problema, gipatuman ang sFlow protocol, nga nagtugot kanimo sa pagkuha sa duha ka pakete gikan sa matag gatos. Bisan pa, usahay dili kini igo sa pag-analisar ug igo nga pagtuon ug pagtimbang-timbang sa dagan. Busa, ang usa ka alternatibo mao ang NetFlow, nga gipatuman sa Cisco, nga nagtugot kanimo sa 100% nga pagkolekta ug pag-eksport sa tanan nga mga pakete sa usa ka piho nga dagan alang sa sunod nga pagtuki.

Ang laing bahin, bisan pa, anaa lamang sa pagpatuman sa hardware sa mga controller, nga nagtugot kanimo sa pag-automate sa operasyon sa wireless network sa Cisco Catalyst 9800 series controllers, gitukod nga suporta alang sa Python nga pinulongan isip usa ka add-on alang sa paggamit. mga script direkta sa wireless controller mismo.

Sa katapusan, ang Cisco Catalyst 9800 Series Controllers nagsuporta sa napamatud-an nga SNMP nga bersyon 1, 2, ug 3 nga protocol alang sa pagmonitor ug pagdumala sa mga operasyon.

Busa, sa mga termino sa automation, ang Cisco Catalyst 9800 Series nga mga solusyon hingpit nga nagtagbo sa modernong mga kinahanglanon sa negosyo, nga nagtanyag sa bag-o ug talagsaon, ingon man usab sa mga himan nga gisulayan sa panahon alang sa mga automated nga operasyon ug analytics sa mga wireless nga network sa bisan unsang gidak-on ug pagkakomplikado.

konklusyon

Sa mga solusyon nga gibase sa Cisco Catalyst 9800 Series Controllers, gipakita sa Cisco ang maayo kaayo nga mga resulta sa mga kategorya nga adunay taas nga pagkaanaa, seguridad ug automation.

Ang solusyon hingpit nga nagtagbo sa tanan nga taas nga kinahanglanon nga magamit sama sa sub-segundo nga failover sa panahon nga wala giplano nga mga panghitabo ug zero downtime alang sa gikatakda nga mga panghitabo.

Ang Cisco Catalyst 9800 Series Controllers naghatag og komprehensibo nga seguridad nga naghatag og lawom nga inspeksyon sa pakete alang sa pag-ila ug pagdumala sa aplikasyon, kompleto nga visibility sa mga agos sa datos, ug pag-ila sa mga hulga nga gitago sa naka-encrypt nga trapiko, ingon man usab sa advanced authentication ug mga mekanismo sa seguridad alang sa mga device sa kliyente.

Para sa automation ug analytics, ang Cisco Catalyst 9800 Series nagtanyag ug gamhanang mga kapabilidad gamit ang popular nga standard models: YANG, NETCONF, RESTCONF, tradisyonal nga mga API, ug built-in nga Python scripts.

Sa ingon, gipamatud-an na usab sa Cisco ang kahimtang niini isip nanguna nga tiggama sa mga solusyon sa networking sa kalibutan, nga nagsunod sa mga panahon ug gikonsiderar ang tanan nga mga hagit sa modernong negosyo.

Para sa dugang nga impormasyon bahin sa Catalyst switch family, bisitaha site Ang Cisco.

Source: www.habr.com

Sa 2019, ang consulting company nga Miercom nagpahigayon sa usa ka independenteng teknolohikal nga pagtasa sa Wi-Fi 6 controllers sa Cisco Catalyst 9800 series. Alang niini nga pagtuon, usa ka test bench ang gitigum gikan sa Cisco Wi-Fi 6 controllers ug access point, ug ang teknikal nga solusyon mao ang gi-assess sa mosunod nga mga kategorya:

• Anaa;
• Kasegurohan;
• Automation.

Ang mga resulta sa pagtuon gipakita sa ubos. Sukad sa 2019, ang pag-andar sa Cisco Catalyst 9800 series controllers labi nga gipauswag - kini nga mga punto gipakita usab sa kini nga artikulo.

Mahimo nimong mabasa ang bahin sa ubang mga bentaha sa teknolohiya sa Wi-Fi 6, mga pananglitan sa pagpatuman ug mga lugar sa aplikasyon dinhi.

Overview sa solusyon

Ang Wi-Fi 6 controllers Cisco Catalyst 9800 series

Ang Cisco Catalyst 9800 Series Wireless Controllers, base sa IOS-XE operating system (gigamit usab alang sa Cisco switch ug routers), anaa sa lain-laing mga opsyon.

Ang karaan nga modelo sa 9800-80 controller nagsuporta sa wireless network throughput hangtod sa 80 Gbps. Ang usa ka 9800-80 controller nagsuporta hangtod sa 6000 ka mga access point ug hangtod sa 64 ka mga wireless nga kliyente.

Ang mid-range nga modelo, ang 9800-40 controller, nagsuporta hangtod sa 40 Gbps throughput, hangtod sa 2000 ka mga access point ug hangtod sa 32 ka mga wireless nga kliyente.

Dugang pa niini nga mga modelo, ang competitive analysis naglakip usab sa 9800-CL wireless controller (CL stands for Cloud). Ang 9800-CL nagdagan sa mga virtual nga palibot sa VMWare ESXI ug KVM hypervisors, ug ang pasundayag niini nagdepende sa gipahinungod nga kahinguhaan sa hardware alang sa controller virtual machine. Sa kinatas-an nga configuration niini, ang Cisco 9800-CL controller, sama sa mas karaan nga modelo nga 9800-80, nagsuporta sa scalability hangtod sa 6000 ka access point ug hangtod sa 64 ka wireless nga kliyente.

Kung nagdumala sa panukiduki uban ang mga controller, gigamit ang Cisco Aironet AP 4800 series nga mga access point, nga nagsuporta sa operasyon sa mga frequency nga 2,4 ug 5 GHz nga adunay abilidad sa dinamikong pagbalhin sa dual 5-GHz mode.

pagsulay stand

Isip bahin sa pagsulay, usa ka baroganan ang gitigom gikan sa duha ka Cisco Catalyst 9800-CL wireless controllers nga naglihok sa usa ka cluster ug Cisco Aironet AP 4800 series access points.

Ang mga laptop gikan sa Dell ug Apple, ingon man usa ka Apple iPhone nga smartphone, gigamit ingon mga aparato sa kliyente.

Pagsulay sa Accessibility

Ang pagkaanaa gihubit ingon ang katakus sa mga tiggamit sa pag-access ug paggamit sa usa ka sistema o serbisyo. Ang taas nga pagkaanaa nagpasabot sa padayon nga pag-access sa usa ka sistema o serbisyo, nga independente sa pipila ka mga panghitabo.

Ang taas nga pagkaanaa gisulayan sa upat nga mga senaryo, ang una nga tulo nga mga senaryo nga matag-an o gikatakda nga mga panghitabo nga mahimong mahitabo sa panahon o pagkahuman sa oras sa negosyo. Ang ikalima nga senaryo usa ka klasiko nga kapakyasan, nga usa ka dili matag-an nga panghitabo.

Deskripsyon sa mga senaryo:

• Pagtul-id sa sayup – usa ka micro-update sa sistema (bugfix o security patch), nga nagtugot kanimo sa pag-ayo sa usa ka partikular nga sayup o pagkahuyang nga wala’y kompleto nga pag-update sa software sa sistema;
• Functional update – pagdugang o pagpalapad sa kasamtangan nga functionality sa sistema pinaagi sa pag-instalar sa functional updates;
• Bug-os nga pag-update - i-update ang imahe sa software sa controller;
• Pagdugang og access point – pagdugang og bag-ong modelo sa access point sa wireless network nga dili kinahanglan nga i-configure o i-update ang wireless controller software;
• Kapakyasan—pagkapakyas sa wireless controller.

Pag-ayo sa mga bug ug mga kahuyangan

Kasagaran, sa daghang mga solusyon sa kompetisyon, ang pag-patching nanginahanglan usa ka kompleto nga pag-update sa software sa sistema sa wireless controller, nga mahimong moresulta sa wala giplano nga downtime. Sa kaso sa solusyon sa Cisco, ang pag-patching gihimo nga wala’y paghunong sa produkto. Ang mga patch mahimong ma-install sa bisan unsang mga sangkap samtang ang wireless nga imprastraktura nagpadayon sa paglihok.

Ang pamaagi mismo yano ra. Ang patch file gikopya sa bootstrap folder sa usa sa Cisco wireless controllers, ug ang operasyon gikumpirma pinaagi sa GUI o command line. Dugang pa, mahimo usab nimo nga i-undo ug tangtangon ang pag-ayo pinaagi sa GUI o command line, nga dili usab makabalda sa operasyon sa sistema.

Functional nga update

Ang mga pag-update sa functional nga software gipadapat aron mahimo ang mga bag-ong gimbuhaton. Usa niini nga mga kalamboan mao ang pag-update sa application signature database. Kini nga pakete gi-install sa mga controller sa Cisco ingon usa ka pagsulay. Sama sa mga patch, ang mga update sa feature gipadapat, gi-install, o gitangtang nga walay bisan unsang downtime o pagkabalda sa sistema.

Bug-os nga update

Sa pagkakaron, ang usa ka bug-os nga pag-update sa imahe sa controller software gihimo sa parehas nga paagi sama sa usa ka functional update, nga mao, nga walay downtime. Bisan pa, kini nga bahin magamit lamang sa usa ka configuration sa cluster kung adunay labaw sa usa ka controller. Ang usa ka kompleto nga pag-update gihimo nga sunud-sunod: una sa usa ka controller, dayon sa ikaduha.

Pagdugang ug bag-ong modelo sa access point

Ang pagkonektar sa bag-ong mga access point, nga wala pa magamit kaniadto gamit ang controller software image nga gigamit, ngadto sa wireless network usa ka komon nga operasyon, ilabi na sa dagkong mga network (airport, hotel, pabrika). Kasagaran sa mga solusyon sa kakompetensya, kini nga operasyon nanginahanglan pag-update sa software sa sistema o pag-reboot sa mga controller.

Kung nagkonektar sa bag-ong Wi-Fi 6 nga mga punto sa pag-access sa usa ka pungpong sa Cisco Catalyst 9800 series controllers, walay ingon nga mga problema nga naobserbahan. Ang pagkonektar sa bag-ong mga punto ngadto sa controller gihimo nga walay pag-update sa controller software, ug kini nga proseso wala magkinahanglan og reboot, sa ingon dili makaapekto sa wireless network sa bisan unsang paagi.

Pagkapakyas sa controller

Ang palibot sa pagsulay naggamit sa duha ka Wi-Fi 6 controllers (Active/StandBy) ug ang access point adunay direktang koneksyon sa duha ka controllers.

Ang usa ka wireless controller aktibo, ug ang lain, matag usa, mao ang backup. Kung mapakyas ang aktibong controller, ang backup controller ang mopuli ug ang status niini mausab ngadto sa aktibo. Kini nga pamaagi mahitabo nga walay hunong alang sa access point ug Wi-Fi alang sa mga kliyente.

Kasegurohan

Kini nga seksyon naghisgot sa mga aspeto sa seguridad, nga usa ka hilabihan ka dinalian nga isyu sa mga wireless network. Ang seguridad sa solusyon gisusi base sa mosunod nga mga kinaiya:

• Pag-ila sa aplikasyon;
• Pagsubay sa agos;
• Pagtuki sa naka-encrypt nga trapiko;
• Intrusion detection ug pagpugong;
• Ang authentication nagpasabot;
• Mga himan sa pagpanalipod sa device sa kliyente.

Pag-ila sa aplikasyon

Taliwala sa lainlaing mga produkto sa negosyo ug industriyal nga merkado sa Wi-Fi, adunay mga kalainan kung unsa ka maayo ang pag-ila sa mga produkto sa trapiko pinaagi sa aplikasyon. Ang mga produkto gikan sa lainlaing mga tiggama mahimong makaila sa lainlaing gidaghanon sa mga aplikasyon. Bisan pa, daghan sa mga aplikasyon nga gilista sa mga solusyon sa kompetisyon kutob sa mahimo alang sa pag-ila, sa tinuud, mga website, ug dili talagsaon nga mga aplikasyon.

Adunay lain nga makapaikag nga bahin sa pag-ila sa aplikasyon: ang mga solusyon magkalainlain kaayo sa katukma sa pag-ila.

Gikonsiderar ang tanan nga mga pagsulay nga gihimo, mahimo namon nga responsable nga ipahayag nga ang solusyon sa Wi-Fi-6 sa Cisco naghimo sa pag-ila sa aplikasyon nga tukma kaayo: Jabber, Netflix, Dropbox, YouTube ug uban pang mga sikat nga aplikasyon, ingon man mga serbisyo sa web, tukma nga giila. Ang mga solusyon sa Cisco mahimo usab nga mas lawom sa mga pakete sa datos gamit ang DPI (Deep Packet Inspection).

Pagsubay sa dagan sa trapiko

Ang laing pagsulay gihimo aron makita kung ang sistema makasubay ba ug makareport sa mga agos sa datos (sama sa dagkong mga paglihok sa file). Aron sulayan kini, usa ka 6,5 megabyte nga file ang gipadala sa network gamit ang File Transfer Protocol (FTP).

Ang solusyon sa Cisco hingpit nga naa sa buluhaton ug nakahimo sa pagsubay niini nga trapiko salamat sa NetFlow ug sa mga kapabilidad sa hardware niini. Ang trapiko nakit-an ug nahibal-an dayon sa eksaktong gidaghanon sa datos nga gibalhin.

Naka-encrypt nga pagtuki sa trapiko

Ang trapiko sa datos sa tiggamit labi nga gi-encrypt. Gihimo kini aron mapanalipdan kini nga dili masubay o ma-intercept sa mga tig-atake. Apan sa samang higayon, ang mga hacker nagkadaghang naggamit ug encryption aron itago ang ilang malware ug ipahigayon ang uban pang mga kadudahang operasyon sama sa Man-in-the-Middle (MiTM) o keylogging attacks.

Kadaghanan sa mga negosyo nag-inspeksyon sa pipila sa ilang na-encrypt nga trapiko pinaagi sa una nga pag-decrypt niini gamit ang mga firewall o mga sistema sa pagpugong sa pagsulod. Apan kini nga proseso nagkinahanglan og daghang panahon ug dili makabenepisyo sa performance sa network sa kinatibuk-an. Dugang pa, sa higayon nga ma-decrypted, kini nga data mahimong bulnerable sa prying mata.

Ang mga tigkontrol sa Cisco Catalyst 9800 Series malampuson nga nakasulbad sa problema sa pag-analisar sa naka-encrypt nga trapiko sa laing paagi. Ang solusyon gitawag nga Encrypted Traffic Analytics (ETA). Ang ETA usa ka teknolohiya nga sa pagkakaron walay mga analogue sa mga solusyon sa kompetisyon ug nga nakamatikod sa malware sa naka-encrypt nga trapiko nga dili kinahanglan nga i-decrypt kini. Ang ETA usa ka kinauyokan nga bahin sa IOS-XE nga naglakip sa Enhanced NetFlow ug naggamit sa mga advanced nga algorithm sa pamatasan aron mahibal-an ang makadaot nga mga pattern sa trapiko nga nagtago sa naka-encrypt nga trapiko.

Wala gi-decrypt sa ETA ang mga mensahe, apan gikolekta ang mga profile sa metadata sa mga na-encrypt nga daloy sa trapiko - gidak-on sa pakete, mga agwat sa oras tali sa mga pakete, ug daghan pa. Ang metadata dayon gi-eksport sa NetFlow v9 nga mga rekord sa Cisco Stealthwatch.

Ang yawe nga gimbuhaton sa Stealthwatch mao ang kanunay nga pag-monitor sa trapiko, ingon man paghimo og baseline sa normal nga kalihokan sa network. Gamit ang naka-encrypt nga stream metadata nga gipadala niini sa ETA, ang Stealthwatch nag-aplay sa multi-layered machine learning aron mahibal-an ang mga anomaliya sa trapiko sa pamatasan nga mahimong magpakita sa mga kadudahang panghitabo.

Sa miaging tuig, ang Cisco nakiglambigit sa Miercom aron independente nga magtimbang-timbang sa solusyon sa Cisco Encrypted Traffic Analytics. Atol niini nga pagtasa, ang Miercom gilain nga nagpadala sa nahibal-an ug wala mailhi nga mga hulga (mga virus, Trojans, ransomware) sa naka-encrypt ug dili naka-encrypt nga trapiko sa dagkong mga network sa ETA ug dili ETA aron mailhan ang mga hulga.

Alang sa pagsulay, ang malisyosong code gilunsad sa duha ka network. Sa duha ka mga kaso, ang kadudahang kalihokan anam-anam nga nadiskobrehan. Ang network sa ETA sa sinugdan nakamatikod sa mga hulga nga 36% nga mas paspas kaysa sa network nga dili ETA. Sa parehas nga oras, samtang nagpadayon ang trabaho, ang pagka-produktibo sa pagkakita sa network sa ETA nagsugod sa pagdugang. Ingon usa ka sangputanan, pagkahuman sa daghang oras nga pagtrabaho, duha sa ikatulo nga bahin sa aktibo nga mga hulga ang malampuson nga nakit-an sa network sa ETA, nga doble nga doble kaysa sa network nga dili ETA.

Ang pag-andar sa ETA maayo nga gisagol sa Stealthwatch. Ang mga hulga giranggo sumala sa kagrabe ug gipakita uban ang detalyado nga kasayuran, ingon man ang mga kapilian sa pag-ayo sa higayon nga nakumpirma. Konklusyon - Ang ETA nagtrabaho!

Pagsusi ug pagpugong sa pagsulod

Ang Cisco karon adunay laing epektibo nga himan sa seguridad - ang Cisco Advanced Wireless Intrusion Prevention System (aWIPS): usa ka mekanismo sa pag-ila ug pagpugong sa mga hulga sa mga wireless network. Ang solusyon sa aWIPS naglihok sa lebel sa mga controller, access point ug Cisco DNA Center management software. Ang pagtuki sa hulga, pag-alerto, ug pagpugong naghiusa sa pag-analisa sa trapiko sa network, aparato sa network ug impormasyon sa topolohiya sa network, mga teknik nga gibase sa pirma, ug pagtuki sa anomaliya aron mahatagan ang tukma ug mapugngan nga mga hulga sa wireless.

Ang bug-os nga pag-integrate sa aWIPS sa imong network infrastructure, mahimo nimong padayon nga mamonitor ang wireless nga trapiko sa wired ug wireless networks ug gamiton kini aron awtomatiko nga analisahon ang mga potensyal nga pag-atake gikan sa daghang mga tinubdan aron mahatagan ang labing komprehensibo nga pagkakita ug pagpugong nga posible.

Ang authentication nagpasabot

Sa pagkakaron, dugang sa klasiko nga mga himan sa pag-authenticate, ang Cisco Catalyst 9800 series nga mga solusyon nagsuporta sa WPA3. Ang WPA3 mao ang pinakabag-o nga bersyon sa WPA, nga usa ka hugpong sa mga protocol ug teknolohiya nga naghatag og authentication ug encryption alang sa mga Wi-Fi network.

Gigamit sa WPA3 ang Simultaneous Authentication of Equals (SAE) aron mahatagan ang labing kusog nga proteksyon sa mga tiggamit batok sa pagsulay sa pagtag-an sa password sa mga ikatulo nga partido. Kung ang usa ka kliyente nagkonektar sa usa ka access point, naghimo kini usa ka pagbinayloay sa SAE. Kung magmalampuson, ang matag usa kanila maghimo usa ka kusgan nga cryptographic nga yawe diin makuha ang yawe sa sesyon, ug dayon mosulod sila sa estado sa pagkumpirma. Ang kliyente ug access point mahimo dayon nga mosulod sa mga estado sa handshake sa matag higayon nga kinahanglan nga mamugna ang usa ka yawe sa sesyon. Ang pamaagi naggamit sa forward secrecy, diin ang usa ka tig-atake mahimong maka-crack sa usa ka yawe, apan dili sa tanan nga uban nga mga yawe.

Sa ato pa, ang SAE gidisenyo sa paagi nga ang usa ka tig-atake nga nagpugong sa trapiko adunay usa lamang ka pagsulay sa pagtag-an sa password sa dili pa ang natanggong nga datos mahimong walay kapuslanan. Aron maorganisar ang usa ka taas nga pagbawi sa password, kinahanglan nimo ang pisikal nga pag-access sa access point.

Proteksyon sa device sa kliyente

Ang Cisco Catalyst 9800 Series nga mga wireless nga solusyon sa pagkakaron naghatag sa nag-unang bahin sa pagpanalipod sa kustomer pinaagi sa Cisco Umbrella WLAN, usa ka cloud-based nga network security nga serbisyo nga naglihok sa lebel sa DNS nga adunay awtomatik nga pag-ila sa nailhan ug mitumaw nga mga hulga.

Ang Cisco Umbrella WLAN naghatag og mga device sa kliyente og luwas nga koneksyon sa Internet. Kini makab-ot pinaagi sa pagsala sa sulod, nga mao, pinaagi sa pagbabag sa pag-access sa mga kapanguhaan sa Internet sumala sa palisiya sa negosyo. Busa, ang mga device sa kliyente sa Internet gipanalipdan gikan sa malware, ransomware, ug phishing. Ang pagpatuman sa palisiya gibase sa 60 nga padayon nga gi-update nga mga kategorya sa sulud.

Automation

Ang mga wireless network karon labi ka dali ug komplikado, busa ang tradisyonal nga mga pamaagi sa pag-configure ug pagkuha sa kasayuran gikan sa mga wireless controller dili igo. Ang mga tigdumala sa network ug mga propesyonal sa seguridad sa impormasyon nanginahanglan mga himan alang sa automation ug analytics, nga nag-aghat sa mga wireless vendor sa pagtanyag sa ingon nga mga himan.

Aron masulbad kini nga mga problema, ang Cisco Catalyst 9800 series wireless controllers, uban sa tradisyonal nga API, naghatag suporta alang sa RESTCONF / NETCONF network configuration protocol uban sa YANG (Yet Another Next Generation) data modeling language.

Ang NETCONF usa ka XML-based nga protocol nga magamit sa mga aplikasyon sa pagpangutana sa impormasyon ug pag-usab sa configuration sa network device sama sa wireless controllers.

Dugang pa niini nga mga pamaagi, ang Cisco Catalyst 9800 Series Controllers naghatag og abilidad sa pagkuha, pagbawi, ug pag-analisar sa datos sa dagan sa impormasyon gamit ang NetFlow ug sFlow nga mga protocol.

Alang sa seguridad ug pagmodelo sa trapiko, ang abilidad sa pagsubay sa piho nga mga dagan usa ka bililhon nga himan. Aron masulbad kini nga problema, gipatuman ang sFlow protocol, nga nagtugot kanimo sa pagkuha sa duha ka pakete gikan sa matag gatos. Bisan pa, usahay dili kini igo sa pag-analisar ug igo nga pagtuon ug pagtimbang-timbang sa dagan. Busa, ang usa ka alternatibo mao ang NetFlow, nga gipatuman sa Cisco, nga nagtugot kanimo sa 100% nga pagkolekta ug pag-eksport sa tanan nga mga pakete sa usa ka piho nga dagan alang sa sunod nga pagtuki.

Ang laing bahin, bisan pa, anaa lamang sa pagpatuman sa hardware sa mga controller, nga nagtugot kanimo sa pag-automate sa operasyon sa wireless network sa Cisco Catalyst 9800 series controllers, gitukod nga suporta alang sa Python nga pinulongan isip usa ka add-on alang sa paggamit. mga script direkta sa wireless controller mismo.

Sa katapusan, ang Cisco Catalyst 9800 Series Controllers nagsuporta sa napamatud-an nga SNMP nga bersyon 1, 2, ug 3 nga protocol alang sa pagmonitor ug pagdumala sa mga operasyon.

Busa, sa mga termino sa automation, ang Cisco Catalyst 9800 Series nga mga solusyon hingpit nga nagtagbo sa modernong mga kinahanglanon sa negosyo, nga nagtanyag sa bag-o ug talagsaon, ingon man usab sa mga himan nga gisulayan sa panahon alang sa mga automated nga operasyon ug analytics sa mga wireless nga network sa bisan unsang gidak-on ug pagkakomplikado.

konklusyon

Sa mga solusyon nga gibase sa Cisco Catalyst 9800 Series Controllers, gipakita sa Cisco ang maayo kaayo nga mga resulta sa mga kategorya nga adunay taas nga pagkaanaa, seguridad ug automation.

Ang solusyon hingpit nga nagtagbo sa tanan nga taas nga kinahanglanon nga magamit sama sa sub-segundo nga failover sa panahon nga wala giplano nga mga panghitabo ug zero downtime alang sa gikatakda nga mga panghitabo.

Ang Cisco Catalyst 9800 Series Controllers naghatag og komprehensibo nga seguridad nga naghatag og lawom nga inspeksyon sa pakete alang sa pag-ila ug pagdumala sa aplikasyon, kompleto nga visibility sa mga agos sa datos, ug pag-ila sa mga hulga nga gitago sa naka-encrypt nga trapiko, ingon man usab sa advanced authentication ug mga mekanismo sa seguridad alang sa mga device sa kliyente.

Para sa automation ug analytics, ang Cisco Catalyst 9800 Series nagtanyag ug gamhanang mga kapabilidad gamit ang popular nga standard models: YANG, NETCONF, RESTCONF, tradisyonal nga mga API, ug built-in nga Python scripts.

Sa ingon, gipamatud-an na usab sa Cisco ang kahimtang niini isip nanguna nga tiggama sa mga solusyon sa networking sa kalibutan, nga nagsunod sa mga panahon ug gikonsiderar ang tanan nga mga hagit sa modernong negosyo.

Para sa dugang nga impormasyon bahin sa Catalyst switch family, bisitaha site Ang Cisco.

Source: www.habr.com