Os oes gennych reolwr, dim problem: sut i gynnal eich rhwydwaith diwifr yn hawdd

Yn 2019, cynhaliodd y cwmni ymgynghori Miercom asesiad technolegol annibynnol o reolwyr Wi-Fi 6 o gyfres Cisco Catalyst 9800. Ar gyfer yr astudiaeth hon, cynullwyd mainc prawf o reolwyr Cisco Wi-Fi 6 a phwyntiau mynediad, a'r ateb technegol oedd cael eu hasesu yn y categorïau canlynol:

• Argaeledd;
• Diogelwch;
• Awtomatiaeth.

Dangosir canlyniadau'r astudiaeth isod. Ers 2019, mae ymarferoldeb rheolwyr cyfres Cisco Catalyst 9800 wedi'i wella'n sylweddol - mae'r pwyntiau hyn hefyd yn cael eu hadlewyrchu yn yr erthygl hon.

Gallwch ddarllen am fanteision eraill technoleg Wi-Fi 6, enghreifftiau o weithredu a meysydd cymhwyso yma.

Trosolwg Ateb

Rheolyddion Wi-Fi 6 cyfres Cisco Catalyst 9800

Mae Rheolwyr Di-wifr Cyfres Cisco Catalyst 9800, sy'n seiliedig ar system weithredu IOS-XE (a ddefnyddir hefyd ar gyfer switshis a llwybryddion Cisco), ar gael mewn amrywiaeth o opsiynau.

Mae model hŷn y rheolydd 9800-80 yn cefnogi trwybwn rhwydwaith diwifr hyd at 80 Gbps. Mae un rheolydd 9800-80 yn cefnogi hyd at 6000 o bwyntiau mynediad a hyd at 64 o gleientiaid diwifr.

Mae'r model canol-ystod, y rheolydd 9800-40, yn cefnogi trwybwn hyd at 40 Gbps, hyd at 2000 o bwyntiau mynediad a hyd at 32 o gleientiaid diwifr.

Yn ogystal â'r modelau hyn, roedd y dadansoddiad cystadleuol hefyd yn cynnwys y rheolydd diwifr 9800-CL (mae CL yn sefyll am Cloud). Mae'r 9800-CL yn rhedeg mewn amgylcheddau rhithwir ar oruchwylydd VMWare ESXI a KVM, ac mae ei berfformiad yn dibynnu ar yr adnoddau caledwedd pwrpasol ar gyfer peiriant rhithwir y rheolydd. Yn ei ffurfweddiad uchaf, mae rheolydd Cisco 9800-CL, fel y model hŷn 9800-80, yn cefnogi scalability hyd at 6000 o bwyntiau mynediad a hyd at 64 o gleientiaid diwifr.

Wrth gynnal ymchwil gyda rheolwyr, defnyddiwyd pwyntiau mynediad cyfres Cisco Aironet AP 4800, gan gefnogi gweithrediad ar amleddau o 2,4 a 5 GHz gyda'r gallu i newid yn ddeinamig i fodd 5-GHz deuol.

stondin prawf

Fel rhan o'r profion, casglwyd stondin gan ddau reolwr diwifr Cisco Catalyst 9800-CL sy'n gweithredu mewn clwstwr a phwyntiau mynediad cyfres Cisco Aironet AP 4800.

Defnyddiwyd gliniaduron o Dell ac Apple, yn ogystal â ffôn clyfar Apple iPhone, fel dyfeisiau cleient.

Profi Hygyrchedd

Diffinnir argaeledd fel gallu defnyddwyr i gyrchu a defnyddio system neu wasanaeth. Mae argaeledd uchel yn awgrymu mynediad parhaus i system neu wasanaeth, yn annibynnol ar rai digwyddiadau.

Profwyd argaeledd uchel mewn pedair senario, gyda'r tri senario cyntaf yn ddigwyddiadau rhagweladwy neu wedi'u hamserlennu a allai ddigwydd yn ystod neu ar ôl oriau busnes. Mae'r pumed senario yn fethiant clasurol, sy'n ddigwyddiad anrhagweladwy.

Disgrifiad o senarios:

• Cywiro gwall - micro-ddiweddariad o'r system (bugfix neu patch security), sy'n eich galluogi i drwsio gwall neu fregusrwydd penodol heb ddiweddariad cyflawn o feddalwedd y system;
• Diweddariad swyddogaethol - ychwanegu neu ehangu ymarferoldeb cyfredol y system trwy osod diweddariadau swyddogaethol;
• Diweddariad llawn - diweddaru delwedd meddalwedd y rheolydd;
• Ychwanegu pwynt mynediad - ychwanegu model pwynt mynediad newydd at rwydwaith diwifr heb fod angen ail-gyflunio na diweddaru meddalwedd y rheolydd diwifr;
• Methiant - methiant y rheolydd diwifr.

Trwsio chwilod a gwendidau

Yn aml, gyda llawer o atebion cystadleuol, mae clytio yn gofyn am ddiweddariad meddalwedd cyflawn o'r system rheolydd diwifr, a all arwain at amser segur heb ei gynllunio. Yn achos y datrysiad Cisco, perfformir clytio heb atal y cynnyrch. Gellir gosod clytiau ar unrhyw un o'r cydrannau tra bod y seilwaith diwifr yn parhau i weithredu.

Mae'r weithdrefn ei hun yn eithaf syml. Mae'r ffeil patch yn cael ei chopïo i'r ffolder bootstrap ar un o reolwyr diwifr Cisco, ac yna caiff y llawdriniaeth ei chadarnhau trwy'r GUI neu'r llinell orchymyn. Yn ogystal, gallwch hefyd ddadwneud a dileu'r atgyweiriad trwy'r GUI neu'r llinell orchymyn, hefyd heb dorri ar draws gweithrediad y system.

Diweddariad swyddogaethol

Cymhwysir diweddariadau meddalwedd swyddogaethol i alluogi nodweddion newydd. Un o'r gwelliannau hyn yw diweddaru'r gronfa ddata llofnod ceisiadau. Gosodwyd y pecyn hwn ar reolwyr Cisco fel prawf. Yn union fel gyda chlytiau, mae diweddariadau nodwedd yn cael eu cymhwyso, eu gosod, neu eu tynnu heb unrhyw amser segur neu ymyrraeth system.

Diweddariad llawn

Ar hyn o bryd, mae diweddariad llawn o ddelwedd meddalwedd y rheolydd yn cael ei berfformio yn yr un modd â diweddariad swyddogaethol, hynny yw, heb amser segur. Fodd bynnag, dim ond mewn cyfluniad clwstwr y mae'r nodwedd hon ar gael pan fo mwy nag un rheolydd. Perfformir diweddariad cyflawn yn olynol: yn gyntaf ar un rheolydd, yna ar yr ail.

Ychwanegu model pwynt mynediad newydd

Mae cysylltu pwyntiau mynediad newydd, nad ydynt wedi'u gweithredu o'r blaen â'r ddelwedd meddalwedd rheolydd a ddefnyddiwyd, â rhwydwaith diwifr yn weithrediad eithaf cyffredin, yn enwedig mewn rhwydweithiau mawr (meysydd awyr, gwestai, ffatrïoedd). Yn aml iawn mewn datrysiadau cystadleuwyr, mae'r llawdriniaeth hon yn gofyn am ddiweddaru meddalwedd y system neu ailgychwyn y rheolwyr.

Wrth gysylltu pwyntiau mynediad Wi-Fi 6 newydd â chlwstwr o reolwyr cyfres Cisco Catalyst 9800, ni welir unrhyw broblemau o'r fath. Mae cysylltu pwyntiau newydd â'r rheolydd yn cael ei wneud heb ddiweddaru meddalwedd y rheolydd, ac nid oes angen ailgychwyn y broses hon, felly nid yw'n effeithio ar y rhwydwaith diwifr mewn unrhyw ffordd.

Methiant y rheolwr

Mae'r amgylchedd prawf yn defnyddio dau reolwr Wi-Fi 6 (Active / StandBy) ac mae gan y pwynt mynediad gysylltiad uniongyrchol â'r ddau reolwr.

Mae un rheolydd diwifr yn weithredol, a'r llall, yn y drefn honno, yn gopi wrth gefn. Os bydd y rheolydd gweithredol yn methu, bydd y rheolydd wrth gefn yn cymryd drosodd ac mae ei statws yn newid i gweithredol. Mae'r weithdrefn hon yn digwydd heb ymyrraeth ar gyfer y pwynt mynediad a Wi-Fi ar gyfer cleientiaid.

diogelwch

Mae'r adran hon yn trafod agweddau ar ddiogelwch, sy'n fater hynod o frys mewn rhwydweithiau diwifr. Asesir diogelwch y datrysiad yn seiliedig ar y nodweddion canlynol:

• Cydnabod cais;
• Olrhain llif;
• Dadansoddiad o draffig wedi'i amgryptio;
• Canfod ac atal ymyrraeth;
• Mae dilysu yn golygu;
• Offer amddiffyn dyfeisiau cleient.

Cydnabod cais

Ymhlith yr amrywiaeth o gynhyrchion yn y farchnad Wi-Fi menter a diwydiannol, mae gwahaniaethau o ran pa mor dda y mae'r cynhyrchion yn nodi traffig yn ôl cais. Gall cynhyrchion gan weithgynhyrchwyr gwahanol nodi niferoedd gwahanol o gymwysiadau. Fodd bynnag, mae llawer o'r cymwysiadau y mae datrysiadau cystadleuol yn eu rhestru â phosibl i'w hadnabod, mewn gwirionedd, yn wefannau, ac nid yn gymwysiadau unigryw.

Mae nodwedd ddiddorol arall o gydnabyddiaeth cais: atebion yn amrywio'n fawr o ran cywirdeb adnabod.

Gan ystyried yr holl brofion a gyflawnwyd, gallwn ddatgan yn gyfrifol bod datrysiad Wi-Fi-6 Cisco yn perfformio adnabyddiaeth ceisiadau yn gywir iawn: nodwyd Jabber, Netflix, Dropbox, YouTube a chymwysiadau poblogaidd eraill, yn ogystal â gwasanaethau gwe, yn gywir. Gall datrysiadau Cisco hefyd blymio'n ddyfnach i becynnau data gan ddefnyddio DPI (Archwiliad Pecyn Dwfn).

Olrhain llif traffig

Cynhaliwyd prawf arall i weld a allai'r system olrhain ac adrodd yn gywir ar lif data (fel symudiadau ffeiliau mawr). I brofi hyn, anfonwyd ffeil 6,5 megabeit dros y rhwydwaith gan ddefnyddio File Transfer Protocol (FTP).

Roedd datrysiad Cisco yn gwbl addas ar gyfer y dasg ac roedd yn gallu olrhain y traffig hwn diolch i NetFlow a'i alluoedd caledwedd. Canfuwyd traffig a'i nodi ar unwaith gyda'r union swm o ddata a drosglwyddwyd.

Dadansoddiad traffig wedi'i amgryptio

Mae traffig data defnyddwyr yn cael ei amgryptio fwyfwy. Gwneir hyn er mwyn ei amddiffyn rhag cael ei olrhain neu ei ryng-gipio gan ymosodwyr. Ond ar yr un pryd, mae hacwyr yn defnyddio amgryptio fwyfwy i guddio eu malware a chyflawni gweithrediadau amheus eraill fel Man-in-the-Middle (MiTM) neu ymosodiadau bysell-logio.

Mae'r rhan fwyaf o fusnesau yn archwilio rhywfaint o'u traffig wedi'i amgryptio trwy ei ddadgryptio yn gyntaf gan ddefnyddio waliau tân neu systemau atal ymyrraeth. Ond mae'r broses hon yn cymryd llawer o amser ac nid yw o fudd i berfformiad y rhwydwaith cyfan. Yn ogystal, ar ôl ei ddadgryptio, mae'r data hwn yn dod yn agored i lygaid busneslyd.

Mae rheolwyr Cisco Catalyst 9800 Series yn llwyddo i ddatrys y broblem o ddadansoddi traffig wedi'i amgryptio trwy ddulliau eraill. Enw'r datrysiad yw Dadansoddeg Traffig wedi'i Amgryptio (ETA). Mae ETA yn dechnoleg nad oes ganddi analogau mewn datrysiadau cystadleuol ar hyn o bryd ac sy'n canfod malware mewn traffig wedi'i amgryptio heb yr angen i'w ddadgryptio. Mae ETA yn nodwedd graidd o IOS-XE sy'n cynnwys NetFlow Gwell ac yn defnyddio algorithmau ymddygiadol uwch i nodi patrymau traffig maleisus sy'n cuddio mewn traffig wedi'i amgryptio.

Nid yw ETA yn dadgryptio negeseuon, ond mae'n casglu proffiliau metadata o lif traffig wedi'i amgryptio - maint pecynnau, cyfnodau amser rhwng pecynnau, a llawer mwy. Yna caiff y metadata ei allforio mewn cofnodion NetFlow v9 i Cisco Stealthwatch.

Swyddogaeth allweddol Stealthwatch yw monitro traffig yn gyson, yn ogystal â chreu llinell sylfaen o weithgaredd rhwydwaith arferol. Gan ddefnyddio metadata ffrwd wedi'i amgryptio a anfonwyd ato gan yr ETA, mae Stealthwatch yn cymhwyso dysgu peiriant aml-haenog i nodi anghysondebau traffig ymddygiadol a allai ddangos digwyddiadau amheus.

Y llynedd, ymgysylltodd Cisco â Miercom i werthuso ei ddatrysiad Cisco Traffic Analytics wedi'i Amgryptio yn annibynnol. Yn ystod yr asesiad hwn, anfonodd Miercom fygythiadau hysbys ac anhysbys ar wahân (firysau, Trojans, ransomware) mewn traffig wedi'i amgryptio a heb ei amgryptio ar draws rhwydweithiau ETA mawr a rhai nad ydynt yn ETA i nodi bygythiadau.

Ar gyfer profi, lansiwyd cod maleisus ar y ddau rwydwaith. Yn y ddau achos, darganfuwyd gweithgaredd amheus yn raddol. I ddechrau, canfu rhwydwaith ETA fygythiadau 36% yn gyflymach na'r rhwydwaith nad yw'n rhwydwaith ETA. Ar yr un pryd, wrth i'r gwaith fynd rhagddo, dechreuodd cynhyrchiant canfod yn y rhwydwaith ETA gynyddu. O ganlyniad, ar ôl sawl awr o waith, canfuwyd dwy ran o dair o fygythiadau gweithredol yn llwyddiannus yn y rhwydwaith ETA, sydd ddwywaith cymaint ag yn y rhwydwaith nad yw'n ETA.

Mae ymarferoldeb ETA wedi'i integreiddio'n dda â Stealthwatch. Caiff bygythiadau eu rhestru yn ôl difrifoldeb a'u harddangos gyda gwybodaeth fanwl, yn ogystal ag opsiynau adfer ar ôl eu cadarnhau. Casgliad – ETA yn gweithio!

Canfod ac atal ymyrraeth

Bellach mae gan Cisco offeryn diogelwch effeithiol arall - System Atal Ymyrraeth Di-wifr Uwch Cisco (aWIPS): mecanwaith ar gyfer canfod ac atal bygythiadau i rwydweithiau diwifr. Mae datrysiad aWIPS yn gweithredu ar lefel rheolwyr, pwyntiau mynediad a meddalwedd rheoli Canolfan DNA Cisco. Mae canfod bygythiadau, rhybuddio ac atal yn cyfuno dadansoddiad traffig rhwydwaith, dyfais rhwydwaith a gwybodaeth topoleg rhwydwaith, technegau sy'n seiliedig ar lofnodion, a chanfod anghysondebau i ddarparu bygythiadau diwifr hynod gywir y gellir eu hatal.

Gan integreiddio aWIPS yn llawn i'ch seilwaith rhwydwaith, gallwch fonitro traffig diwifr yn barhaus ar rwydweithiau gwifrau a diwifr a'i ddefnyddio i ddadansoddi ymosodiadau posibl yn awtomatig o ffynonellau lluosog i ddarparu'r canfod a'r atal mwyaf cynhwysfawr posibl.

Ystyr dilysu

Ar hyn o bryd, yn ogystal ag offer dilysu clasurol, mae datrysiadau cyfres Cisco Catalyst 9800 yn cefnogi WPA3. WPA3 yw'r fersiwn ddiweddaraf o WPA, sef set o brotocolau a thechnolegau sy'n darparu dilysiad ac amgryptio ar gyfer rhwydweithiau Wi-Fi.

Mae WPA3 yn defnyddio Dilysu Cydraddoleb Ar y Pryd (SAE) i ddarparu'r amddiffyniad cryfaf i ddefnyddwyr rhag ymdrechion gan drydydd parti i ddyfalu cyfrinair. Pan fydd cleient yn cysylltu â phwynt mynediad, mae'n perfformio cyfnewid SAE. Os byddant yn llwyddiannus, bydd pob un ohonynt yn creu allwedd cryptograffig cryf y bydd allwedd y sesiwn yn deillio ohoni, ac yna byddant yn mynd i mewn i'r cyflwr cadarnhau. Yna gall y cleient a'r pwynt mynediad fynd i mewn i gyflyrau ysgwyd llaw bob tro y mae angen cynhyrchu allwedd sesiwn. Mae'r dull yn defnyddio cyfrinachedd ymlaen, lle gall ymosodwr gracio un allwedd, ond nid pob allwedd arall.

Hynny yw, mae SAE wedi'i ddylunio yn y fath fodd fel mai dim ond un ymgais sydd gan ymosodwr sy'n rhyng-gipio traffig i ddyfalu'r cyfrinair cyn i'r data rhyng-gipio ddod yn ddiwerth. I drefnu adferiad cyfrinair hir, bydd angen mynediad corfforol arnoch i'r pwynt mynediad.

Diogelu dyfais cleient

Ar hyn o bryd mae datrysiadau diwifr Cyfres Cisco Catalyst 9800 yn darparu'r nodwedd amddiffyn cwsmeriaid sylfaenol trwy Cisco Umbrella WLAN, gwasanaeth diogelwch rhwydwaith yn y cwmwl sy'n gweithredu ar lefel DNS gyda chanfod bygythiadau hysbys a rhai sy'n dod i'r amlwg yn awtomatig.

Mae Cisco Umbrella WLAN yn darparu dyfeisiau cleient â chysylltiad diogel â'r Rhyngrwyd. Cyflawnir hyn trwy hidlo cynnwys, hynny yw, trwy rwystro mynediad at adnoddau ar y Rhyngrwyd yn unol â pholisi menter. Felly, mae dyfeisiau cleient ar y Rhyngrwyd yn cael eu hamddiffyn rhag malware, ransomware, a gwe-rwydo. Mae gorfodi polisi yn seiliedig ar 60 o gategorïau cynnwys sy'n cael eu diweddaru'n barhaus.

Awtomeiddio

Mae rhwydweithiau diwifr heddiw yn llawer mwy hyblyg a chymhleth, felly nid yw dulliau traddodiadol o ffurfweddu ac adalw gwybodaeth gan reolwyr diwifr yn ddigon. Mae gweinyddwyr rhwydwaith a gweithwyr proffesiynol diogelwch gwybodaeth angen offer ar gyfer awtomeiddio a dadansoddeg, gan annog gwerthwyr diwifr i gynnig offer o'r fath.

Er mwyn datrys y problemau hyn, mae rheolwyr diwifr cyfres Cisco Catalyst 9800, ynghyd â'r API traddodiadol, yn darparu cefnogaeth ar gyfer protocol cyfluniad rhwydwaith RESTCONF / NETCONF gydag iaith modelu data YANG (Yet Another Next Generation).

Mae NETCONF yn brotocol sy'n seiliedig ar XML y gall cymwysiadau ei ddefnyddio i gwestiynu gwybodaeth a newid ffurfweddiad dyfeisiau rhwydwaith fel rheolwyr diwifr.

Yn ogystal â'r dulliau hyn, mae Rheolwyr Cyfres Cisco Catalyst 9800 yn darparu'r gallu i ddal, adalw a dadansoddi data llif gwybodaeth gan ddefnyddio'r protocolau NetFlow a sFlow.

Ar gyfer diogelwch a modelu traffig, mae'r gallu i olrhain llifau penodol yn arf gwerthfawr. I ddatrys y broblem hon, gweithredwyd y protocol sFlow, sy'n eich galluogi i ddal dau becyn allan o bob cant. Fodd bynnag, weithiau efallai na fydd hyn yn ddigon i ddadansoddi ac astudio a gwerthuso'r llif yn ddigonol. Felly, dewis arall yw NetFlow, a weithredir gan Cisco, sy'n eich galluogi i 100% gasglu ac allforio'r holl becynnau mewn llif penodedig ar gyfer dadansoddiad dilynol.

Nodwedd arall, fodd bynnag, sydd ar gael yn unig yng ngweithrediad caledwedd y rheolwyr, sy'n eich galluogi i awtomeiddio gweithrediad y rhwydwaith diwifr yn rheolwyr cyfres Cisco Catalyst 9800, yw cefnogaeth fewnol i'r iaith Python fel ychwanegiad ar gyfer defnyddio sgriptiau'n uniongyrchol ar y rheolydd diwifr ei hun.

Yn olaf, mae Rheolwyr Cyfres Cisco Catalyst 9800 yn cefnogi'r protocol SNMP fersiwn 1, 2, a 3 profedig ar gyfer gweithrediadau monitro a rheoli.

Felly, o ran awtomeiddio, mae atebion Cyfres Cisco Catalyst 9800 yn bodloni gofynion busnes modern yn llawn, gan gynnig offer newydd ac unigryw, yn ogystal ag offer â phrawf amser ar gyfer gweithrediadau awtomataidd a dadansoddeg mewn rhwydweithiau diwifr o unrhyw faint a chymhlethdod.

Casgliad

Mewn datrysiadau yn seiliedig ar Reolwyr Cyfres Cisco Catalyst 9800, dangosodd Cisco ganlyniadau rhagorol yn y categorïau argaeledd uchel, diogelwch ac awtomeiddio.

Mae'r datrysiad yn cwrdd yn llawn â'r holl ofynion argaeledd uchel megis methiant is-eiliad yn ystod digwyddiadau heb eu cynllunio a dim amser segur ar gyfer digwyddiadau a drefnwyd.

Mae Rheolwyr Cyfres Cisco Catalyst 9800 yn darparu diogelwch cynhwysfawr sy'n darparu archwiliad pecyn dwfn ar gyfer adnabod a rheoli cymwysiadau, gwelededd cyflawn i lif data, a nodi bygythiadau sydd wedi'u cuddio mewn traffig wedi'i amgryptio, yn ogystal â mecanweithiau dilysu a diogelwch uwch ar gyfer dyfeisiau cleient.

Ar gyfer awtomeiddio a dadansoddeg, mae Cyfres Cisco Catalyst 9800 yn cynnig galluoedd pwerus gan ddefnyddio modelau safonol poblogaidd: YANG, NETCONF, RESTCONF, APIs traddodiadol, a sgriptiau Python adeiledig.

Felly, mae Cisco unwaith eto yn cadarnhau ei statws fel gwneuthurwr mwyaf blaenllaw'r byd o atebion rhwydweithio, gan gadw i fyny â'r oes a chymryd i ystyriaeth holl heriau busnes modern.

I gael rhagor o wybodaeth am y teulu switsh Catalyst, ewch i Ar-lein cisco.

Ffynhonnell: hab.com

Yn 2019, cynhaliodd y cwmni ymgynghori Miercom asesiad technolegol annibynnol o reolwyr Wi-Fi 6 o gyfres Cisco Catalyst 9800. Ar gyfer yr astudiaeth hon, cynullwyd mainc prawf o reolwyr Cisco Wi-Fi 6 a phwyntiau mynediad, a'r ateb technegol oedd cael eu hasesu yn y categorïau canlynol:

• Argaeledd;
• Diogelwch;
• Awtomatiaeth.

Dangosir canlyniadau'r astudiaeth isod. Ers 2019, mae ymarferoldeb rheolwyr cyfres Cisco Catalyst 9800 wedi'i wella'n sylweddol - mae'r pwyntiau hyn hefyd yn cael eu hadlewyrchu yn yr erthygl hon.

Gallwch ddarllen am fanteision eraill technoleg Wi-Fi 6, enghreifftiau o weithredu a meysydd cymhwyso yma.

Trosolwg Ateb

Rheolyddion Wi-Fi 6 cyfres Cisco Catalyst 9800

Mae Rheolwyr Di-wifr Cyfres Cisco Catalyst 9800, sy'n seiliedig ar system weithredu IOS-XE (a ddefnyddir hefyd ar gyfer switshis a llwybryddion Cisco), ar gael mewn amrywiaeth o opsiynau.

Mae model hŷn y rheolydd 9800-80 yn cefnogi trwybwn rhwydwaith diwifr hyd at 80 Gbps. Mae un rheolydd 9800-80 yn cefnogi hyd at 6000 o bwyntiau mynediad a hyd at 64 o gleientiaid diwifr.

Mae'r model canol-ystod, y rheolydd 9800-40, yn cefnogi trwybwn hyd at 40 Gbps, hyd at 2000 o bwyntiau mynediad a hyd at 32 o gleientiaid diwifr.

Yn ogystal â'r modelau hyn, roedd y dadansoddiad cystadleuol hefyd yn cynnwys y rheolydd diwifr 9800-CL (mae CL yn sefyll am Cloud). Mae'r 9800-CL yn rhedeg mewn amgylcheddau rhithwir ar oruchwylydd VMWare ESXI a KVM, ac mae ei berfformiad yn dibynnu ar yr adnoddau caledwedd pwrpasol ar gyfer peiriant rhithwir y rheolydd. Yn ei ffurfweddiad uchaf, mae rheolydd Cisco 9800-CL, fel y model hŷn 9800-80, yn cefnogi scalability hyd at 6000 o bwyntiau mynediad a hyd at 64 o gleientiaid diwifr.

Wrth gynnal ymchwil gyda rheolwyr, defnyddiwyd pwyntiau mynediad cyfres Cisco Aironet AP 4800, gan gefnogi gweithrediad ar amleddau o 2,4 a 5 GHz gyda'r gallu i newid yn ddeinamig i fodd 5-GHz deuol.

stondin prawf

Fel rhan o'r profion, casglwyd stondin gan ddau reolwr diwifr Cisco Catalyst 9800-CL sy'n gweithredu mewn clwstwr a phwyntiau mynediad cyfres Cisco Aironet AP 4800.

Defnyddiwyd gliniaduron o Dell ac Apple, yn ogystal â ffôn clyfar Apple iPhone, fel dyfeisiau cleient.

Profi Hygyrchedd

Diffinnir argaeledd fel gallu defnyddwyr i gyrchu a defnyddio system neu wasanaeth. Mae argaeledd uchel yn awgrymu mynediad parhaus i system neu wasanaeth, yn annibynnol ar rai digwyddiadau.

Profwyd argaeledd uchel mewn pedair senario, gyda'r tri senario cyntaf yn ddigwyddiadau rhagweladwy neu wedi'u hamserlennu a allai ddigwydd yn ystod neu ar ôl oriau busnes. Mae'r pumed senario yn fethiant clasurol, sy'n ddigwyddiad anrhagweladwy.

Disgrifiad o senarios:

• Cywiro gwall - micro-ddiweddariad o'r system (bugfix neu patch security), sy'n eich galluogi i drwsio gwall neu fregusrwydd penodol heb ddiweddariad cyflawn o feddalwedd y system;
• Diweddariad swyddogaethol - ychwanegu neu ehangu ymarferoldeb cyfredol y system trwy osod diweddariadau swyddogaethol;
• Diweddariad llawn - diweddaru delwedd meddalwedd y rheolydd;
• Ychwanegu pwynt mynediad - ychwanegu model pwynt mynediad newydd at rwydwaith diwifr heb fod angen ail-gyflunio na diweddaru meddalwedd y rheolydd diwifr;
• Methiant - methiant y rheolydd diwifr.

Trwsio chwilod a gwendidau

Yn aml, gyda llawer o atebion cystadleuol, mae clytio yn gofyn am ddiweddariad meddalwedd cyflawn o'r system rheolydd diwifr, a all arwain at amser segur heb ei gynllunio. Yn achos y datrysiad Cisco, perfformir clytio heb atal y cynnyrch. Gellir gosod clytiau ar unrhyw un o'r cydrannau tra bod y seilwaith diwifr yn parhau i weithredu.

Mae'r weithdrefn ei hun yn eithaf syml. Mae'r ffeil patch yn cael ei chopïo i'r ffolder bootstrap ar un o reolwyr diwifr Cisco, ac yna caiff y llawdriniaeth ei chadarnhau trwy'r GUI neu'r llinell orchymyn. Yn ogystal, gallwch hefyd ddadwneud a dileu'r atgyweiriad trwy'r GUI neu'r llinell orchymyn, hefyd heb dorri ar draws gweithrediad y system.

Diweddariad swyddogaethol

Cymhwysir diweddariadau meddalwedd swyddogaethol i alluogi nodweddion newydd. Un o'r gwelliannau hyn yw diweddaru'r gronfa ddata llofnod ceisiadau. Gosodwyd y pecyn hwn ar reolwyr Cisco fel prawf. Yn union fel gyda chlytiau, mae diweddariadau nodwedd yn cael eu cymhwyso, eu gosod, neu eu tynnu heb unrhyw amser segur neu ymyrraeth system.

Diweddariad llawn

Ar hyn o bryd, mae diweddariad llawn o ddelwedd meddalwedd y rheolydd yn cael ei berfformio yn yr un modd â diweddariad swyddogaethol, hynny yw, heb amser segur. Fodd bynnag, dim ond mewn cyfluniad clwstwr y mae'r nodwedd hon ar gael pan fo mwy nag un rheolydd. Perfformir diweddariad cyflawn yn olynol: yn gyntaf ar un rheolydd, yna ar yr ail.

Ychwanegu model pwynt mynediad newydd

Mae cysylltu pwyntiau mynediad newydd, nad ydynt wedi'u gweithredu o'r blaen â'r ddelwedd meddalwedd rheolydd a ddefnyddiwyd, â rhwydwaith diwifr yn weithrediad eithaf cyffredin, yn enwedig mewn rhwydweithiau mawr (meysydd awyr, gwestai, ffatrïoedd). Yn aml iawn mewn datrysiadau cystadleuwyr, mae'r llawdriniaeth hon yn gofyn am ddiweddaru meddalwedd y system neu ailgychwyn y rheolwyr.

Wrth gysylltu pwyntiau mynediad Wi-Fi 6 newydd â chlwstwr o reolwyr cyfres Cisco Catalyst 9800, ni welir unrhyw broblemau o'r fath. Mae cysylltu pwyntiau newydd â'r rheolydd yn cael ei wneud heb ddiweddaru meddalwedd y rheolydd, ac nid oes angen ailgychwyn y broses hon, felly nid yw'n effeithio ar y rhwydwaith diwifr mewn unrhyw ffordd.

Methiant y rheolwr

Mae'r amgylchedd prawf yn defnyddio dau reolwr Wi-Fi 6 (Active / StandBy) ac mae gan y pwynt mynediad gysylltiad uniongyrchol â'r ddau reolwr.

Mae un rheolydd diwifr yn weithredol, a'r llall, yn y drefn honno, yn gopi wrth gefn. Os bydd y rheolydd gweithredol yn methu, bydd y rheolydd wrth gefn yn cymryd drosodd ac mae ei statws yn newid i gweithredol. Mae'r weithdrefn hon yn digwydd heb ymyrraeth ar gyfer y pwynt mynediad a Wi-Fi ar gyfer cleientiaid.

diogelwch

Mae'r adran hon yn trafod agweddau ar ddiogelwch, sy'n fater hynod o frys mewn rhwydweithiau diwifr. Asesir diogelwch y datrysiad yn seiliedig ar y nodweddion canlynol:

• Cydnabod cais;
• Olrhain llif;
• Dadansoddiad o draffig wedi'i amgryptio;
• Canfod ac atal ymyrraeth;
• Mae dilysu yn golygu;
• Offer amddiffyn dyfeisiau cleient.

Cydnabod cais

Ymhlith yr amrywiaeth o gynhyrchion yn y farchnad Wi-Fi menter a diwydiannol, mae gwahaniaethau o ran pa mor dda y mae'r cynhyrchion yn nodi traffig yn ôl cais. Gall cynhyrchion gan weithgynhyrchwyr gwahanol nodi niferoedd gwahanol o gymwysiadau. Fodd bynnag, mae llawer o'r cymwysiadau y mae datrysiadau cystadleuol yn eu rhestru â phosibl i'w hadnabod, mewn gwirionedd, yn wefannau, ac nid yn gymwysiadau unigryw.

Mae nodwedd ddiddorol arall o gydnabyddiaeth cais: atebion yn amrywio'n fawr o ran cywirdeb adnabod.

Gan ystyried yr holl brofion a gyflawnwyd, gallwn ddatgan yn gyfrifol bod datrysiad Wi-Fi-6 Cisco yn perfformio adnabyddiaeth ceisiadau yn gywir iawn: nodwyd Jabber, Netflix, Dropbox, YouTube a chymwysiadau poblogaidd eraill, yn ogystal â gwasanaethau gwe, yn gywir. Gall datrysiadau Cisco hefyd blymio'n ddyfnach i becynnau data gan ddefnyddio DPI (Archwiliad Pecyn Dwfn).

Olrhain llif traffig

Cynhaliwyd prawf arall i weld a allai'r system olrhain ac adrodd yn gywir ar lif data (fel symudiadau ffeiliau mawr). I brofi hyn, anfonwyd ffeil 6,5 megabeit dros y rhwydwaith gan ddefnyddio File Transfer Protocol (FTP).

Roedd datrysiad Cisco yn gwbl addas ar gyfer y dasg ac roedd yn gallu olrhain y traffig hwn diolch i NetFlow a'i alluoedd caledwedd. Canfuwyd traffig a'i nodi ar unwaith gyda'r union swm o ddata a drosglwyddwyd.

Dadansoddiad traffig wedi'i amgryptio

Mae traffig data defnyddwyr yn cael ei amgryptio fwyfwy. Gwneir hyn er mwyn ei amddiffyn rhag cael ei olrhain neu ei ryng-gipio gan ymosodwyr. Ond ar yr un pryd, mae hacwyr yn defnyddio amgryptio fwyfwy i guddio eu malware a chyflawni gweithrediadau amheus eraill fel Man-in-the-Middle (MiTM) neu ymosodiadau bysell-logio.

Mae'r rhan fwyaf o fusnesau yn archwilio rhywfaint o'u traffig wedi'i amgryptio trwy ei ddadgryptio yn gyntaf gan ddefnyddio waliau tân neu systemau atal ymyrraeth. Ond mae'r broses hon yn cymryd llawer o amser ac nid yw o fudd i berfformiad y rhwydwaith cyfan. Yn ogystal, ar ôl ei ddadgryptio, mae'r data hwn yn dod yn agored i lygaid busneslyd.

Mae rheolwyr Cisco Catalyst 9800 Series yn llwyddo i ddatrys y broblem o ddadansoddi traffig wedi'i amgryptio trwy ddulliau eraill. Enw'r datrysiad yw Dadansoddeg Traffig wedi'i Amgryptio (ETA). Mae ETA yn dechnoleg nad oes ganddi analogau mewn datrysiadau cystadleuol ar hyn o bryd ac sy'n canfod malware mewn traffig wedi'i amgryptio heb yr angen i'w ddadgryptio. Mae ETA yn nodwedd graidd o IOS-XE sy'n cynnwys NetFlow Gwell ac yn defnyddio algorithmau ymddygiadol uwch i nodi patrymau traffig maleisus sy'n cuddio mewn traffig wedi'i amgryptio.

Nid yw ETA yn dadgryptio negeseuon, ond mae'n casglu proffiliau metadata o lif traffig wedi'i amgryptio - maint pecynnau, cyfnodau amser rhwng pecynnau, a llawer mwy. Yna caiff y metadata ei allforio mewn cofnodion NetFlow v9 i Cisco Stealthwatch.

Swyddogaeth allweddol Stealthwatch yw monitro traffig yn gyson, yn ogystal â chreu llinell sylfaen o weithgaredd rhwydwaith arferol. Gan ddefnyddio metadata ffrwd wedi'i amgryptio a anfonwyd ato gan yr ETA, mae Stealthwatch yn cymhwyso dysgu peiriant aml-haenog i nodi anghysondebau traffig ymddygiadol a allai ddangos digwyddiadau amheus.

Y llynedd, ymgysylltodd Cisco â Miercom i werthuso ei ddatrysiad Cisco Traffic Analytics wedi'i Amgryptio yn annibynnol. Yn ystod yr asesiad hwn, anfonodd Miercom fygythiadau hysbys ac anhysbys ar wahân (firysau, Trojans, ransomware) mewn traffig wedi'i amgryptio a heb ei amgryptio ar draws rhwydweithiau ETA mawr a rhai nad ydynt yn ETA i nodi bygythiadau.

Ar gyfer profi, lansiwyd cod maleisus ar y ddau rwydwaith. Yn y ddau achos, darganfuwyd gweithgaredd amheus yn raddol. I ddechrau, canfu rhwydwaith ETA fygythiadau 36% yn gyflymach na'r rhwydwaith nad yw'n rhwydwaith ETA. Ar yr un pryd, wrth i'r gwaith fynd rhagddo, dechreuodd cynhyrchiant canfod yn y rhwydwaith ETA gynyddu. O ganlyniad, ar ôl sawl awr o waith, canfuwyd dwy ran o dair o fygythiadau gweithredol yn llwyddiannus yn y rhwydwaith ETA, sydd ddwywaith cymaint ag yn y rhwydwaith nad yw'n ETA.

Mae ymarferoldeb ETA wedi'i integreiddio'n dda â Stealthwatch. Caiff bygythiadau eu rhestru yn ôl difrifoldeb a'u harddangos gyda gwybodaeth fanwl, yn ogystal ag opsiynau adfer ar ôl eu cadarnhau. Casgliad – ETA yn gweithio!

Canfod ac atal ymyrraeth

Bellach mae gan Cisco offeryn diogelwch effeithiol arall - System Atal Ymyrraeth Di-wifr Uwch Cisco (aWIPS): mecanwaith ar gyfer canfod ac atal bygythiadau i rwydweithiau diwifr. Mae datrysiad aWIPS yn gweithredu ar lefel rheolwyr, pwyntiau mynediad a meddalwedd rheoli Canolfan DNA Cisco. Mae canfod bygythiadau, rhybuddio ac atal yn cyfuno dadansoddiad traffig rhwydwaith, dyfais rhwydwaith a gwybodaeth topoleg rhwydwaith, technegau sy'n seiliedig ar lofnodion, a chanfod anghysondebau i ddarparu bygythiadau diwifr hynod gywir y gellir eu hatal.

Gan integreiddio aWIPS yn llawn i'ch seilwaith rhwydwaith, gallwch fonitro traffig diwifr yn barhaus ar rwydweithiau gwifrau a diwifr a'i ddefnyddio i ddadansoddi ymosodiadau posibl yn awtomatig o ffynonellau lluosog i ddarparu'r canfod a'r atal mwyaf cynhwysfawr posibl.

Ystyr dilysu

Ar hyn o bryd, yn ogystal ag offer dilysu clasurol, mae datrysiadau cyfres Cisco Catalyst 9800 yn cefnogi WPA3. WPA3 yw'r fersiwn ddiweddaraf o WPA, sef set o brotocolau a thechnolegau sy'n darparu dilysiad ac amgryptio ar gyfer rhwydweithiau Wi-Fi.

Mae WPA3 yn defnyddio Dilysu Cydraddoleb Ar y Pryd (SAE) i ddarparu'r amddiffyniad cryfaf i ddefnyddwyr rhag ymdrechion gan drydydd parti i ddyfalu cyfrinair. Pan fydd cleient yn cysylltu â phwynt mynediad, mae'n perfformio cyfnewid SAE. Os byddant yn llwyddiannus, bydd pob un ohonynt yn creu allwedd cryptograffig cryf y bydd allwedd y sesiwn yn deillio ohoni, ac yna byddant yn mynd i mewn i'r cyflwr cadarnhau. Yna gall y cleient a'r pwynt mynediad fynd i mewn i gyflyrau ysgwyd llaw bob tro y mae angen cynhyrchu allwedd sesiwn. Mae'r dull yn defnyddio cyfrinachedd ymlaen, lle gall ymosodwr gracio un allwedd, ond nid pob allwedd arall.

Hynny yw, mae SAE wedi'i ddylunio yn y fath fodd fel mai dim ond un ymgais sydd gan ymosodwr sy'n rhyng-gipio traffig i ddyfalu'r cyfrinair cyn i'r data rhyng-gipio ddod yn ddiwerth. I drefnu adferiad cyfrinair hir, bydd angen mynediad corfforol arnoch i'r pwynt mynediad.

Diogelu dyfais cleient

Ar hyn o bryd mae datrysiadau diwifr Cyfres Cisco Catalyst 9800 yn darparu'r nodwedd amddiffyn cwsmeriaid sylfaenol trwy Cisco Umbrella WLAN, gwasanaeth diogelwch rhwydwaith yn y cwmwl sy'n gweithredu ar lefel DNS gyda chanfod bygythiadau hysbys a rhai sy'n dod i'r amlwg yn awtomatig.

Mae Cisco Umbrella WLAN yn darparu dyfeisiau cleient â chysylltiad diogel â'r Rhyngrwyd. Cyflawnir hyn trwy hidlo cynnwys, hynny yw, trwy rwystro mynediad at adnoddau ar y Rhyngrwyd yn unol â pholisi menter. Felly, mae dyfeisiau cleient ar y Rhyngrwyd yn cael eu hamddiffyn rhag malware, ransomware, a gwe-rwydo. Mae gorfodi polisi yn seiliedig ar 60 o gategorïau cynnwys sy'n cael eu diweddaru'n barhaus.

Awtomeiddio

Mae rhwydweithiau diwifr heddiw yn llawer mwy hyblyg a chymhleth, felly nid yw dulliau traddodiadol o ffurfweddu ac adalw gwybodaeth gan reolwyr diwifr yn ddigon. Mae gweinyddwyr rhwydwaith a gweithwyr proffesiynol diogelwch gwybodaeth angen offer ar gyfer awtomeiddio a dadansoddeg, gan annog gwerthwyr diwifr i gynnig offer o'r fath.

Er mwyn datrys y problemau hyn, mae rheolwyr diwifr cyfres Cisco Catalyst 9800, ynghyd â'r API traddodiadol, yn darparu cefnogaeth ar gyfer protocol cyfluniad rhwydwaith RESTCONF / NETCONF gydag iaith modelu data YANG (Yet Another Next Generation).

Mae NETCONF yn brotocol sy'n seiliedig ar XML y gall cymwysiadau ei ddefnyddio i gwestiynu gwybodaeth a newid ffurfweddiad dyfeisiau rhwydwaith fel rheolwyr diwifr.

Yn ogystal â'r dulliau hyn, mae Rheolwyr Cyfres Cisco Catalyst 9800 yn darparu'r gallu i ddal, adalw a dadansoddi data llif gwybodaeth gan ddefnyddio'r protocolau NetFlow a sFlow.

Ar gyfer diogelwch a modelu traffig, mae'r gallu i olrhain llifau penodol yn arf gwerthfawr. I ddatrys y broblem hon, gweithredwyd y protocol sFlow, sy'n eich galluogi i ddal dau becyn allan o bob cant. Fodd bynnag, weithiau efallai na fydd hyn yn ddigon i ddadansoddi ac astudio a gwerthuso'r llif yn ddigonol. Felly, dewis arall yw NetFlow, a weithredir gan Cisco, sy'n eich galluogi i 100% gasglu ac allforio'r holl becynnau mewn llif penodedig ar gyfer dadansoddiad dilynol.

Nodwedd arall, fodd bynnag, sydd ar gael yn unig yng ngweithrediad caledwedd y rheolwyr, sy'n eich galluogi i awtomeiddio gweithrediad y rhwydwaith diwifr yn rheolwyr cyfres Cisco Catalyst 9800, yw cefnogaeth fewnol i'r iaith Python fel ychwanegiad ar gyfer defnyddio sgriptiau'n uniongyrchol ar y rheolydd diwifr ei hun.

Yn olaf, mae Rheolwyr Cyfres Cisco Catalyst 9800 yn cefnogi'r protocol SNMP fersiwn 1, 2, a 3 profedig ar gyfer gweithrediadau monitro a rheoli.

Felly, o ran awtomeiddio, mae atebion Cyfres Cisco Catalyst 9800 yn bodloni gofynion busnes modern yn llawn, gan gynnig offer newydd ac unigryw, yn ogystal ag offer â phrawf amser ar gyfer gweithrediadau awtomataidd a dadansoddeg mewn rhwydweithiau diwifr o unrhyw faint a chymhlethdod.

Casgliad

Mewn datrysiadau yn seiliedig ar Reolwyr Cyfres Cisco Catalyst 9800, dangosodd Cisco ganlyniadau rhagorol yn y categorïau argaeledd uchel, diogelwch ac awtomeiddio.

Mae'r datrysiad yn cwrdd yn llawn â'r holl ofynion argaeledd uchel megis methiant is-eiliad yn ystod digwyddiadau heb eu cynllunio a dim amser segur ar gyfer digwyddiadau a drefnwyd.

Mae Rheolwyr Cyfres Cisco Catalyst 9800 yn darparu diogelwch cynhwysfawr sy'n darparu archwiliad pecyn dwfn ar gyfer adnabod a rheoli cymwysiadau, gwelededd cyflawn i lif data, a nodi bygythiadau sydd wedi'u cuddio mewn traffig wedi'i amgryptio, yn ogystal â mecanweithiau dilysu a diogelwch uwch ar gyfer dyfeisiau cleient.

Ar gyfer awtomeiddio a dadansoddeg, mae Cyfres Cisco Catalyst 9800 yn cynnig galluoedd pwerus gan ddefnyddio modelau safonol poblogaidd: YANG, NETCONF, RESTCONF, APIs traddodiadol, a sgriptiau Python adeiledig.

Felly, mae Cisco unwaith eto yn cadarnhau ei statws fel gwneuthurwr mwyaf blaenllaw'r byd o atebion rhwydweithio, gan gadw i fyny â'r oes a chymryd i ystyriaeth holl heriau busnes modern.

I gael rhagor o wybodaeth am y teulu switsh Catalyst, ewch i Ar-lein cisco.

Ffynhonnell: hab.com