2019an, Miercom aholkularitza enpresak Cisco Catalyst 6 serieko Wi-Fi 9800 kontrolagailuen ebaluazio teknologiko independente bat egin zuen. Azterketa honetarako, proba-banku bat muntatu zen Cisco Wi-Fi 6 kontrolagailu eta sarbide-puntuetatik, eta irtenbide teknikoa izan zen. kategoria hauetan ebaluatua:
- Eskuragarritasuna;
- segurtasuna,
- Automatizazioa.
Azterketaren emaitzak behean erakusten dira. 2019az geroztik, Cisco Catalyst 9800 serieko kontrolagailuen funtzionaltasuna nabarmen hobetu da - puntu hauek artikulu honetan ere islatzen dira.
Wi-Fi 6 teknologiaren beste abantaila batzuk, ezarpenaren adibideak eta aplikazio eremuak irakur ditzakezu.
Irtenbidearen ikuspegi orokorra
Wi-Fi 6 kontrolagailu Cisco Catalyst 9800 seriea
Cisco Catalyst 9800 Series Haririk gabeko kontrolagailuak, IOS-XE sistema eragilean oinarritutakoak (Cisco etengailuetarako eta bideratzaileetarako ere erabiltzen da), hainbat aukeratan daude eskuragarri.
9800-80 kontrolagailuaren modelo zaharragoak 80 Gbps arteko haririk gabeko sarearen transmisioa onartzen du. 9800-80 kontrolagailu batek 6000 sarbide-puntu eta 64 haririk gabeko bezero onartzen ditu.
Gama ertaineko modeloak, 9800-40 kontrolagailuak, 40 Gbps-ko abiadura, 2000 sarbide-puntu eta 32 haririk gabeko bezero onartzen ditu.
Eredu horiez gain, analisi lehiakorrean 9800-CL haririk gabeko kontrolagailua ere sartu zen (CL Cloud esan nahi du). 9800-CL ingurune birtualetan exekutatzen da VMWare ESXI eta KVM hiperbissoreetan, eta bere errendimendua kontroladorearen makina birtualeko hardware-baliabideen menpe dago. Bere gehieneko konfigurazioan, Cisco 9800-CL kontrolagailuak, 9800-80 modelo zaharragoak bezala, 6000 sarbide-puntu eta 64 haririk gabeko bezero arteko eskalagarritasuna onartzen du.
Kontrolagailuekin ikerketak egiterakoan, Cisco Aironet AP 4800 serieko sarbide-puntuak erabili ziren, 2,4 eta 5 GHz-ko maiztasunetan funtzionatzeko aukerarekin, 5 GHz-ko modu bikoitzera dinamikoki aldatzeko gaitasunarekin.
proba-bankua
Probaren zati gisa, stand bat muntatu zen kluster batean funtzionatzen duten bi Cisco Catalyst 9800-CL haririk gabeko kontrolagailuetatik eta Cisco Aironet AP 4800 serieko sarbide puntuetatik.
Dell eta Appleren ordenagailu eramangarriak, baita Apple iPhone smartphone bat ere, bezero gailu gisa erabili ziren.
Irisgarritasun-probak
Erabilgarritasuna erabiltzaileek sistema edo zerbitzu bat atzitzeko eta erabiltzeko duten gaitasuna bezala definitzen da. Eskuragarritasun handiak sistema edo zerbitzu batera etengabe sartzea dakar, gertaera jakin batzuen arabera.
Erabilgarritasun handia lau agertokitan probatu zen, lehen hiru eszenatokiak lanorduetan edo ondoren gerta zitezkeen aurreikus daitezkeen edo programatutako gertaerak izan ziren. Bosgarren eszenatokia porrot klasikoa da, hau da, ezusteko gertaera bat.
Eszenatokien deskribapena:
- Erroreen zuzenketa - sistemaren mikro-eguneratzea (bugfix edo segurtasun-adabakia), eta horri esker, errore edo ahultasun jakin bat konpon dezakezu sistemaren softwarea eguneratu gabe;
- Eguneratze funtzionala - eguneraketa funtzionalak instalatuz sistemaren egungo funtzionalitateak gehitzea edo zabaltzea;
- Eguneratze osoa - eguneratu kontroladorearen softwarearen irudia;
- Sarbide-puntu bat gehitzea: hari gabeko sare batera sarbide-puntu-eredu berri bat gehitzea hari gabeko kontrolagailuaren softwarea birkonfiguratu edo eguneratu beharrik gabe;
- Porrota: hari gabeko kontrolagailuaren hutsegitea.
Akatsak eta ahuleziak konpontzea
Askotan, konponbide lehiakor askorekin, adabakiak haririk gabeko kontrolagailu sistemaren software-eguneratzea eskatzen du, eta horrek aurreikusi gabeko geldialdi-denbora eragin dezake. Cisco irtenbidearen kasuan, adabakia produktua gelditu gabe egiten da. Adabakiak edozein osagaitan instalatu daitezke hari gabeko azpiegiturak funtzionatzen jarraitzen duen bitartean.
Prozedura bera nahiko erraza da. Adabaki fitxategia Cisco haririk gabeko kontrolagailuetako batean bootstrap karpetara kopiatzen da, eta eragiketa GUI edo komando-lerroaren bidez berresten da. Horrez gain, konponketa desegin eta kendu dezakezu GUI edo komando-lerroaren bidez, sistemaren funtzionamendua eten gabe ere.
Eguneratze funtzionala
Softwarearen eguneratze funtzionalak funtzio berriak gaitzeko aplikatzen dira. Hobekuntza horietako bat aplikazioaren sinadura datu-basea eguneratzea da. Pakete hau Cisco kontrolagailuetan instalatu zen proba gisa. Adabakiekin gertatzen den bezala, funtzioen eguneraketak aplikatzen, instalatzen edo kentzen dira inongo geldiune-denborarik edo sistema etenik gabe.
Eguneratze osoa
Une honetan, kontrolagailuaren software-irudiaren eguneratze osoa eguneratze funtzional baten moduan egiten da, hau da, geldialdirik gabe. Hala ere, funtzio hau kluster konfigurazioan bakarrik dago erabilgarri kontrolagailu bat baino gehiago daudenean. Eguneratze osoa sekuentzialki egiten da: lehenengo kontrolagailu batean, gero bigarrenean.
Sarbide-puntu eredu berri bat gehitzea
Sarbide-puntu berriak, aurretik erabilitako kontrolagailuaren software-irudiarekin operatu ez direnak, hari gabeko sare batera konektatzea nahiko ohikoa da, batez ere sare handietan (aireportuak, hotelak, lantegiak). Askotan lehiakideen soluzioetan, eragiketa honek sistemaren softwarea eguneratzea edo kontrolagailuak berrabiaraztea eskatzen du.
Wi-Fi 6 sarbide-puntu berriak Cisco Catalyst 9800 serieko kontrolagailuen multzo batera konektatzean, ez da horrelako arazorik ikusten. Puntu berriak kontrolagailura konektatzea kontroladorearen softwarea eguneratu gabe egiten da, eta prozesu honek ez du berrabiarazi behar, beraz, ez du inola ere haririk gabeko sarean eraginik.
Kontrolagailuaren hutsegitea
Proba-inguruneak bi Wi-Fi 6 kontrolagailu erabiltzen ditu (aktiboa/Esanbidea) eta sarbide-puntuak bi kontrolagailuekin zuzeneko konexioa du.
Haririk gabeko kontrolagailu bat aktibo dago, eta bestea, hurrenez hurren, babeskopia da. Aktiboak kontrolagailuak huts egiten badu, babeskopia kontroladoreak hartuko du bere gain eta bere egoera aktibo bihurtzen da. Prozedura hau etenik gabe gertatzen da sarbide puntuarentzat eta bezeroentzat Wi-Fi.
ΠΠ΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡΡ
Atal honetan segurtasunaren alderdiak aztertzen dira, hau da, hari gabeko sareetan oso arazo larria dena. Irtenbidearen segurtasuna ezaugarri hauen arabera ebaluatzen da:
- Aplikazioen aitorpena;
- Fluxuaren jarraipena;
- Zifratutako trafikoaren analisia;
- Intrusioen detekzioa eta prebentzioa;
- Autentifikazio bitartekoak;
- Bezeroaren gailuak babesteko tresnak.
Aplikazioaren aitorpena
Wi-Fi merkatuko enpresa eta industriako produktuen artean, desberdintasunak daude produktuek trafikoa aplikazioaren arabera identifikatzen dutenean. Fabrikatzaile ezberdinetako produktuek aplikazio kopuru desberdinak identifikatu ditzakete. Hala ere, konponbide lehiakorrak identifikatzeko ahalik eta zerrendatzen dituzten aplikazioetako asko, hain zuzen, webguneak dira, eta ez aplikazio bakarrak.
Bada aplikazioen aitorpenaren beste ezaugarri interesgarri bat: irtenbideak asko aldatzen dira identifikazio-zehaztasunean.
Egindako proba guztiak kontuan hartuta, arduraz esan dezakegu Ciscoren Wi-Fi-6 soluzioak aplikazioen ezagupena oso zehatza egiten duela: Jabber, Netflix, Dropbox, YouTube eta beste aplikazio ezagun batzuk, baita web zerbitzuak ere, zehaztasunez identifikatu ziren. Cisco soluzioek datu-paketeetan ere sakondu dezakete DPI (Deep Packet Inspection) erabiliz.
Trafiko-fluxuaren jarraipena
Beste proba bat egin zen, sistemak datu-fluxuak zehaztasunez jarraitu eta jakinarazi zezakeen ikusteko (adibidez, fitxategien mugimendu handiak). Hori probatzeko, 6,5 megabyte-ko fitxategi bat bidali zen sarera File Transfer Protocol (FTP) erabiliz.
Cisco konponbidea bete-betean zegoen eta trafiko hori jarraitzeko gai izan zen NetFlow-i eta bere hardware-gaitasunei esker. Trafikoa detektatu eta berehala identifikatu zen transferitutako datu kopuru zehatzarekin.
Enkriptatutako trafikoaren azterketa
Erabiltzaileen datuen trafikoa gero eta gehiago zifratzen da. Hau erasotzaileen jarraipena edo atzematea babesteko egiten da. Baina, aldi berean, hacker-ek gero eta gehiago erabiltzen dute enkriptatzea beren malwarea ezkutatzeko eta beste eragiketa zalantzazko batzuk egiteko, hala nola Man-in-the-Middle (MiTM) edo keylogging erasoak.
Negozio gehienek enkriptatutako trafikoaren zati bat ikuskatzen dute lehenik suebakiak edo intrusioak prebenitzeko sistemak erabiliz deszifratuz. Baina prozesu honek denbora asko behar du eta ez dio mesederik egiten sare osoaren errendimenduari. Horrez gain, behin deszifratuta, datu horiek zaurgarri bilakatzen dira begien aurrean.
Cisco Catalyst 9800 Series kontrolagailuek arrakastaz konpontzen dute enkriptatutako trafikoa beste bide batzuen bidez aztertzeko arazoa. Irtenbidea Encrypted Traffic Analytics (ETA) deitzen da. ETA gaur egun konponbide lehiakorretan analogorik ez duen teknologia da eta enkriptatutako trafikoan malwarea detektatzen duena deszifratu beharrik gabe. ETA IOS-XEren ezaugarri nagusi bat da, Enhanced NetFlow barne hartzen duena eta enkriptatutako trafikoan ezkutatzen diren trafiko maltzurren ereduak identifikatzeko portaera-algoritmo aurreratuak erabiltzen ditu.
ETAk ez ditu mezuak deszifratzen, baina enkriptatutako trafiko-fluxuen metadatuen profilak biltzen ditu - paketeen tamaina, paketeen arteko denbora-tarteak eta askoz gehiago. Metadatuak NetFlow v9 erregistroetan esportatzen dira Cisco Stealthwatch-era.
Stealthwatch-en funtzio nagusia trafikoa etengabe kontrolatzea da, baita sareko jarduera normalaren oinarrizko lerroa sortzea ere. ETAk bidalitako korronte enkriptatutako metadatuak erabiliz, Stealthwatch-ek geruza anitzeko ikaskuntza automatikoa aplikatzen du gertaera susmagarriak adieraz ditzaketen portaera-trafikoaren anomaliak identifikatzeko.
Iaz, Ciscok Miercom-i kontratatu zuen Cisco Encrypted Traffic Analytics soluzioa modu independentean ebaluatzeko. Ebaluazio honetan, Miercom-ek bereizita bidali zituen mehatxu ezagunak eta ezezagunak (birusak, troiarrak, ransomwarea) trafiko enkriptatuetan eta zifratu gabekoetan ETA eta ETA ez diren sare handietan mehatxuak identifikatzeko.
Proba egiteko, kode gaiztoa abiarazi zen bi sareetan. Bi kasuetan, pixkanaka jarduera susmagarriak aurkitu ziren. ETA sareak hasiera batean ETA ez zen sareak baino %36 azkarrago detektatu zituen mehatxuak. Aldi berean, lanak aurrera egin ahala, ETAren sarean detekzioen produktibitatea handitzen hasi zen. Ondorioz, hainbat ordu lan egin ostean, mehatxu aktiboen bi heren arrakastaz detektatu ziren ETAren sarean, hau da, ETA ez den sarean baino bi aldiz gehiago.
ETAren funtzionaltasuna ondo integratuta dago Stealthwatch-ekin. Mehatxuak larritasunaren arabera sailkatzen dira eta informazio zehatzarekin bistaratzen dira, baita konponketa-aukerak ere baieztatu ondoren. Ondorioa β ETAk funtzionatzen du!
Intrusioen detekzioa eta prebentzioa
Cisco-k beste segurtasun-tresna eraginkor bat du orain: Cisco haririk gabeko intrusioen prebentzio sistema aurreratua (aWIPS): haririk gabeko sareetarako mehatxuak detektatzeko eta prebenitzeko mekanismoa. aWIPS irtenbideak kontrolagailuen, sarbide puntuen eta Cisco DNA Center kudeatzeko softwarearen mailan funtzionatzen du. Mehatxuak hautemateak, alertak eta prebentzioak sareko trafikoaren azterketa, sareko gailuen eta sareko topologiaren informazioa, sinaduran oinarritutako teknikak eta anomalien detekzioa konbinatzen ditu haririk gabeko mehatxu oso zehatzak eta prebenitu daitezkeenak emateko.
AWIPS zure sare-azpiegituran guztiz integratuta, hari gabeko trafikoa etengabe kontrolatu dezakezu kabledun nahiz haririk gabeko sareetan eta iturri anitzetako balizko erasoak automatikoki aztertzeko erabil dezakezu, detekzio eta prebentzio ahalik eta zabalena eskaintzeko.
Autentifikazio-bide
Une honetan, autentifikazio-tresna klasikoez gain, Cisco Catalyst 9800 serieko soluzioek WPA3 onartzen dute. WPA3 WPAren azken bertsioa da, hau da, Wi-Fi sareetarako autentifikazioa eta enkriptatzea eskaintzen duten protokolo eta teknologien multzoa.
WPA3-k Simultaneous Authentication of Equals (SAE) erabiltzen du hirugarrenen pasahitzak asmatzeko saiakeretatik erabiltzaileei babesrik sendoena emateko. Bezero bat sarbide-puntu batera konektatzen denean, SAE trukea egiten du. Arrakasta izanez gero, horietako bakoitzak kriptografikoki sendoa den gako bat sortuko du, eta bertatik saio-gakoa aterako da, eta, ondoren, berrespen egoeran sartuko dira. Bezeroak eta sarbide-puntuak esku-emate egoerak sar ditzakete saio-gako bat sortu behar den bakoitzean. Metodoak aurrerako sekretua erabiltzen du, erasotzaileak gako bat pitza dezake, baina ez beste gako guztiak.
Hau da, SAE trafikoa atzematen duen erasotzaile batek pasahitza asmatzeko saiakera bakarra izan dezan atzemandako datuak alferrikakoak izan baino lehen diseinatuta dago. Pasahitza berreskuratzeko luze bat antolatzeko, sarbide-punturako sarbide fisikoa beharko duzu.
Bezeroaren gailuen babesa
Cisco Catalyst 9800 serieko haririk gabeko soluzioek gaur egun bezeroaren babesa eskaintzen dute Cisco Umbrella WLAN bidez, hodeian oinarritutako sareko segurtasun-zerbitzu baten bidez, DNS mailan funtzionatzen duten mehatxu ezagunak eta sortzen ari direnen detekzioa automatikoarekin.
Cisco Umbrella WLAN-ek Interneterako konexio segurua eskaintzen die bezero-gailuei. Hori edukien iragazketa bidez lortzen da, hau da, Interneteko baliabideetarako sarbidea blokeatuz enpresa-politikaren arabera. Horrela, Interneteko bezeroen gailuak malware, ransomware eta phishingetik babestuta daude. Gidalerroak betearaztea etengabe eguneratzen diren 60 eduki kategoriatan oinarritzen da.
automatizazioa
Gaur egungo haririk gabeko sareak askoz malguagoak eta konplexuagoak dira, beraz, hari gabeko kontrolagailuetatik informazioa konfiguratzeko eta berreskuratzeko metodo tradizionalak ez dira nahikoak. Sare-administratzaileek eta informazioaren segurtasuneko profesionalek automatizaziorako eta analisirako tresnak behar dituzte, eta haririk gabeko saltzaileek tresna horiek eskaintzera bultzatzen dituzte.
Arazo hauek konpontzeko, Cisco Catalyst 9800 serieko haririk gabeko kontrolagailuek, API tradizionalarekin batera, RESTCONF / NETCONF sarearen konfigurazio protokolorako laguntza eskaintzen dute YANG (Yet Another Next Generation) datuen modelizazio-lengoaiarekin.
NETCONF XML oinarritutako protokoloa da, aplikazioek informazioa kontsultatzeko eta sareko gailuen konfigurazioa aldatzeko erabil dezaketena, hala nola haririk gabeko kontrolagailuak.
Metodo horiez gain, Cisco Catalyst 9800 serieko kontrolagailuek NetFlow eta sFlow protokoloak erabiliz informazio-fluxuaren datuak atzemateko, berreskuratzeko eta aztertzeko gaitasuna eskaintzen dute.
Segurtasuna eta trafikoa modelatzeko, fluxu zehatzen jarraipena egiteko gaitasuna tresna baliotsua da. Arazo hau konpontzeko, sFlow protokoloa ezarri zen, ehunetik bi pakete harrapatzeko aukera ematen duena. Hala ere, batzuetan hori nahikoa ez da fluxua aztertzeko eta behar bezala aztertzeko eta ebaluatzeko. Hori dela eta, alternatiba bat NetFlow da, Ciscok inplementatutakoa, pakete guztiak % 100ean bildu eta esportatzeko aukera ematen duen fluxu zehatz batean, ondoren aztertzeko.
Hala ere, kontrolagailuen hardware inplementazioan soilik eskuragarri dagoen beste ezaugarri bat, Cisco Catalyst 9800 serieko kontrolagailuetan haririk gabeko sarearen funtzionamendua automatizatzeko aukera ematen duena, Python lengoaiaren euskarri integratua da erabiltzeko gehigarri gisa. scriptak zuzenean hari gabeko kontrolagailuan bertan.
Azkenik, Cisco Catalyst 9800 serieko kontrolagailuek SNMP 1, 2 eta 3 bertsio frogatua onartzen dute monitorizazio eta kudeaketa eragiketetarako.
Horrela, automatizazioari dagokionez, Cisco Catalyst 9800 Serieko soluzioek negozio-eskakizun modernoak guztiz betetzen dituzte, eta, hala, berriak eta bakarrak eskaintzen dituzte, baita denboran probatutako tresnak ere, edozein tamaina eta konplexutasuneko haririk gabeko sareetan eragiketa eta analisi automatizatuetarako.
Ondorioa
Cisco Catalyst 9800 serieko kontrolagailuetan oinarritutako soluzioetan, Ciscok emaitza bikainak erakutsi zituen erabilgarritasun handiko, segurtasun eta automatizazio kategorietan.
Irtenbideak guztiz betetzen ditu erabilgarritasun handiko eskakizun guztiak, hala nola segundo azpiko hutsegitea planifikatu gabeko gertaeretan eta programatutako ekitaldietarako zero geldialdi-denbora.
Cisco Catalyst 9800 serieko kontrolagailuek segurtasun osoa eskaintzen dute, aplikazioak ezagutzeko eta kontrolatzeko paketeen ikuskapen sakona eskaintzen dutenak, datu-fluxuen ikusgarritasun osoa eta enkriptatutako trafikoan ezkutatzen diren mehatxuen identifikazioa, baita bezero gailuentzako autentifikazio eta segurtasun mekanismo aurreratuak ere.
Automatizaziorako eta analisirako, Cisco Catalyst 9800 Series-ak gaitasun indartsuak eskaintzen ditu eredu estandar ezagunak erabiliz: YANG, NETCONF, RESTCONF, API tradizionalak eta Python script integratuak.
Horrela, Ciscok sareko irtenbideen munduko fabrikatzaile nagusi gisa duen egoera berresten du berriro ere, garaiari eutsiz eta negozio modernoaren erronka guztiak kontuan hartuta.
Catalyst switch familiari buruzko informazio gehiago lortzeko, bisitatu cisco.
Iturria: www.habr.com