اگر یک کنترلر دارید، مشکلی نیست: چگونه به راحتی شبکه بی سیم خود را حفظ کنید

در سال 2019، شرکت مشاور Miercom یک ارزیابی تکنولوژیکی مستقل از کنترلرهای Wi-Fi 6 سری Cisco Catalyst 9800 انجام داد. برای این مطالعه، یک میز آزمایش از کنترلرها و نقاط دسترسی Cisco Wi-Fi 6 مونتاژ شد و راه حل فنی آن بود. در دسته بندی های زیر ارزیابی می شود:

• دسترسی؛
• امنیت؛
• اتوماسیون.

نتایج مطالعه در زیر نشان داده شده است. از سال 2019، عملکرد کنترلرهای سری Cisco Catalyst 9800 به طور قابل توجهی بهبود یافته است - این نکات در این مقاله نیز منعکس شده است.

می توانید در مورد دیگر مزایای فناوری Wi-Fi 6، نمونه هایی از پیاده سازی و زمینه های کاربردی مطالعه کنید اینجا.

بررسی اجمالی راه حل

کنترلرهای Wi-Fi 6 سری Cisco Catalyst 9800

کنترلرهای بی سیم سیسکو Catalyst 9800 Series، بر اساس سیستم عامل IOS-XE (همچنین برای سوئیچ ها و روترهای سیسکو استفاده می شود)، در گزینه های مختلفی در دسترس هستند.

مدل قدیمی کنترلر 9800-80 از توان شبکه بی سیم تا 80 گیگابیت بر ثانیه پشتیبانی می کند. یک کنترلر 9800-80 تا 6000 نقطه دسترسی و حداکثر 64 کلاینت بی سیم را پشتیبانی می کند.

مدل میان رده، کنترلر 9800-40، تا 40 گیگابیت بر ثانیه، حداکثر 2000 نقطه دسترسی و حداکثر 32 کلاینت بی سیم را پشتیبانی می کند.

علاوه بر این مدل ها، تجزیه و تحلیل رقابتی شامل کنترلر بی سیم 9800-CL نیز می شود (CL مخفف Cloud است). 9800-CL در محیط های مجازی روی هایپروایزرهای VMWare ESXI و KVM اجرا می شود و عملکرد آن به منابع سخت افزاری اختصاصی برای ماشین مجازی کنترلر بستگی دارد. در حداکثر پیکربندی، کنترلر سیسکو 9800-CL، مانند مدل قدیمی 9800-80، از مقیاس پذیری تا 6000 نقطه دسترسی و تا 64 کلاینت بی سیم پشتیبانی می کند.

هنگام انجام تحقیقات با کنترلرها، از نقاط دسترسی سری Cisco Aironet AP 4800 استفاده شد که از عملیات در فرکانس‌های 2,4 و 5 گیگاهرتز با قابلیت تغییر پویا به حالت دوگانه 5 گیگاهرتز پشتیبانی می‌کرد.

پایه تست

به عنوان بخشی از آزمایش، یک پایه از دو کنترلر بی سیم Cisco Catalyst 9800-CL که در یک کلاستر کار می کنند و نقاط دسترسی سری Cisco Aironet AP 4800 مونتاژ شد.

لپ‌تاپ‌های دل و اپل و همچنین یک گوشی هوشمند آیفون اپل به‌عنوان دستگاه‌های مشتری استفاده می‌شدند.

تست دسترسی

در دسترس بودن به عنوان توانایی کاربران برای دسترسی و استفاده از یک سیستم یا سرویس تعریف می شود. در دسترس بودن بالا به معنای دسترسی مداوم به یک سیستم یا سرویس، مستقل از رویدادهای خاص است.

در دسترس بودن بالا در چهار سناریو آزمایش شد، سه سناریو اول رویدادهای قابل پیش بینی یا برنامه ریزی شده بودند که ممکن است در طول یا بعد از ساعات کاری رخ دهند. سناریوی پنجم یک شکست کلاسیک است که اتفاقی غیرقابل پیش بینی است.

شرح سناریوها:

• تصحیح خطا – به‌روزرسانی میکرو سیستم (رفع اشکال یا وصله امنیتی)، که به شما امکان می‌دهد یک خطا یا آسیب‌پذیری خاص را بدون به‌روزرسانی کامل نرم‌افزار سیستم برطرف کنید.
• به روز رسانی عملکردی - افزودن یا گسترش عملکرد فعلی سیستم با نصب به روز رسانی های کاربردی.
• به روز رسانی کامل – به روز رسانی تصویر نرم افزار کنترلر.
• افزودن نقطه دسترسی – افزودن مدل نقطه دسترسی جدید به شبکه بی سیم بدون نیاز به پیکربندی مجدد یا به روز رسانی نرم افزار کنترلر بی سیم.
• خرابی - خرابی کنترلر بی سیم.

رفع اشکالات و آسیب پذیری ها

اغلب، با بسیاری از راه حل های رقابتی، وصله نیاز به به روز رسانی نرم افزار کامل سیستم کنترل کننده بی سیم دارد که می تواند منجر به خرابی برنامه ریزی نشده شود. در مورد محلول سیسکو، وصله بدون توقف محصول انجام می شود. در حالی که زیرساخت بی سیم به کار خود ادامه می دهد وصله ها را می توان روی هر یک از اجزا نصب کرد.

خود روش بسیار ساده است. فایل پچ در پوشه بوت استرپ در یکی از کنترلرهای بی سیم سیسکو کپی می شود و سپس عملیات از طریق رابط کاربری گرافیکی یا خط فرمان تایید می شود. علاوه بر این، شما همچنین می توانید رفع مشکل را از طریق رابط کاربری گرافیکی یا خط فرمان، بدون وقفه در عملکرد سیستم، لغو و حذف کنید.

به روز رسانی عملکردی

به روز رسانی نرم افزار کاربردی برای فعال کردن ویژگی های جدید اعمال می شود. یکی از این پیشرفت ها به روز رسانی پایگاه داده امضای برنامه است. این بسته به صورت آزمایشی بر روی کنترلرهای سیسکو نصب شد. درست مانند وصله‌ها، به‌روزرسانی‌های ویژگی بدون هیچ خرابی یا قطعی سیستم اعمال، نصب یا حذف می‌شوند.

آپدیت کامل

در حال حاضر، به‌روزرسانی کامل تصویر نرم‌افزار کنترلر به همان شیوه به‌روزرسانی عملکردی، یعنی بدون خرابی انجام می‌شود. با این حال، این ویژگی تنها در پیکربندی کلاستر زمانی در دسترس است که بیش از یک کنترلر وجود داشته باشد. یک به روز رسانی کامل به صورت متوالی انجام می شود: ابتدا روی یک کنترلر، سپس روی دومی.

اضافه کردن یک مدل نقطه دسترسی جدید

اتصال نقاط دسترسی جدید، که قبلاً با تصویر نرم‌افزار کنترل‌کننده استفاده‌شده، به یک شبکه بی‌سیم کار نمی‌کردند، یک عملیات نسبتاً رایج است، به‌ویژه در شبکه‌های بزرگ (فرودگاه‌ها، هتل‌ها، کارخانه‌ها). اغلب در راه حل های رقیب، این عملیات نیاز به به روز رسانی نرم افزار سیستم یا راه اندازی مجدد کنترلرها دارد.

هنگام اتصال Wi-Fi 6 Access Point های جدید به دسته ای از کنترلرهای سری Cisco Catalyst 9800، چنین مشکلی مشاهده نمی شود. اتصال نقاط جدید به کنترل‌کننده بدون به‌روزرسانی نرم‌افزار کنترل‌کننده انجام می‌شود و این فرآیند نیازی به راه‌اندازی مجدد ندارد، بنابراین به هیچ وجه شبکه بی‌سیم را تحت تأثیر قرار نمی‌دهد.

خرابی کنترلر

محیط تست از دو کنترلر Wi-Fi 6 (Active/StandBy) استفاده می کند و نقطه دسترسی به هر دو کنترلر ارتباط مستقیم دارد.

یک کنترلر بی سیم فعال است و دیگری به ترتیب پشتیبان است. اگر کنترل کننده فعال از کار بیفتد، کنترلر پشتیبان کنترل می شود و وضعیت آن به فعال تغییر می کند. این روش بدون وقفه برای نقطه دسترسی و Wi-Fi برای مشتریان انجام می شود.

امنیت

این بخش جنبه‌های امنیتی را مورد بحث قرار می‌دهد، که یک موضوع بسیار مهم در شبکه‌های بی‌سیم است. امنیت راه حل بر اساس ویژگی های زیر ارزیابی می شود:

• تشخیص برنامه؛
• ردیابی جریان؛
• تجزیه و تحلیل ترافیک رمزگذاری شده؛
• تشخیص و پیشگیری از نفوذ؛
• احراز هویت یعنی؛
• ابزارهای محافظت از دستگاه مشتری

تشخیص برنامه

در میان محصولات متنوع در بازار وای فای سازمانی و صنعتی، تفاوت هایی در میزان شناسایی ترافیک توسط محصولات توسط محصولات وجود دارد. محصولات تولید کنندگان مختلف ممکن است تعداد متفاوتی از برنامه ها را شناسایی کنند. با این حال، بسیاری از برنامه‌هایی که راه‌حل‌های رقابتی برای شناسایی فهرست می‌کنند، در واقع وب‌سایت‌ها هستند و نه برنامه‌های منحصربه‌فرد.

یکی دیگر از ویژگی های جالب تشخیص برنامه وجود دارد: راه حل ها در دقت شناسایی بسیار متفاوت هستند.

با در نظر گرفتن تمام تست‌های انجام‌شده، می‌توانیم با مسئولیت‌پذیری اعلام کنیم که راه‌حل Wi-Fi-6 سیسکو شناسایی برنامه‌ها را بسیار دقیق انجام می‌دهد: Jabber، Netflix، Dropbox، YouTube و سایر برنامه‌های محبوب و همچنین سرویس‌های وب به دقت شناسایی شدند. راه‌حل‌های سیسکو همچنین می‌توانند با استفاده از DPI (بازرسی عمیق بسته) در بسته‌های داده عمیق‌تر فرو روند.

ردیابی جریان ترافیک

آزمایش دیگری برای بررسی اینکه آیا سیستم می تواند جریان داده ها (مانند جابجایی فایل های بزرگ) را به طور دقیق ردیابی و گزارش کند، انجام شد. برای آزمایش این، یک فایل 6,5 مگابایتی با استفاده از پروتکل انتقال فایل (FTP) از طریق شبکه ارسال شد.

راه حل سیسکو به طور کامل به وظیفه خود عمل کرد و به لطف NetFlow و قابلیت های سخت افزاری آن توانست این ترافیک را ردیابی کند. ترافیک با مقدار دقیق داده های منتقل شده بلافاصله شناسایی و شناسایی شد.

تجزیه و تحلیل ترافیک رمزگذاری شده

ترافیک داده های کاربر به طور فزاینده ای رمزگذاری می شود. این کار به منظور محافظت از آن در برابر ردیابی یا رهگیری توسط مهاجمان انجام می شود. اما در عین حال، هکرها به طور فزاینده ای از رمزگذاری برای مخفی کردن بدافزار خود و انجام سایر عملیات مشکوک مانند Man-in-the-Middle (MiTM) یا حملات keylogging استفاده می کنند.

اکثر کسب و کارها برخی از ترافیک رمزگذاری شده خود را ابتدا با رمزگشایی با استفاده از فایروال یا سیستم های جلوگیری از نفوذ بررسی می کنند. اما این فرآیند زمان زیادی می برد و برای عملکرد کل شبکه سودی ندارد. علاوه بر این، پس از رمزگشایی، این داده ها در برابر چشمان کنجکاو آسیب پذیر می شوند.

کنترلرهای سری Cisco Catalyst 9800 با موفقیت مشکل تجزیه و تحلیل ترافیک رمزگذاری شده را با روش های دیگر حل می کنند. راه حلی که آنالیز ترافیک رمزگذاری شده (ETA) نام دارد. ETA فناوری است که در حال حاضر هیچ مشابهی در راه حل های رقابتی ندارد و بدافزار را در ترافیک رمزگذاری شده بدون نیاز به رمزگشایی شناسایی می کند. ETA یک ویژگی اصلی IOS-XE است که شامل Enhanced NetFlow است و از الگوریتم های رفتاری پیشرفته برای شناسایی الگوهای ترافیک مخرب پنهان شده در ترافیک رمزگذاری شده استفاده می کند.

ETA پیام‌ها را رمزگشایی نمی‌کند، اما نمایه‌های ابرداده جریان‌های ترافیک رمزگذاری‌شده - اندازه بسته، فواصل زمانی بین بسته‌ها و موارد دیگر را جمع‌آوری می‌کند. سپس ابرداده در رکوردهای NetFlow v9 به سیسکو Stealthwatch صادر می شود.

عملکرد کلیدی Stealthwatch نظارت مداوم بر ترافیک و همچنین ایجاد یک خط پایه از فعالیت عادی شبکه است. Stealthwatch با استفاده از فراداده جریان رمزگذاری شده ارسال شده توسط ETA، یادگیری ماشینی چند لایه را برای شناسایی ناهنجاری های ترافیکی رفتاری که ممکن است نشان دهنده رویدادهای مشکوک باشد، اعمال می کند.

سال گذشته، سیسکو Miercom را درگیر کرد تا راه حل تجزیه و تحلیل ترافیک رمزگذاری شده سیسکو را به طور مستقل ارزیابی کند. در طی این ارزیابی، Miercom به طور جداگانه تهدیدهای شناخته شده و ناشناخته (ویروس ها، تروجان ها، باج افزار) را در ترافیک رمزگذاری شده و رمزگذاری نشده در سراسر شبکه های بزرگ ETA و غیر ETA ارسال کرد تا تهدیدات را شناسایی کند.

برای آزمایش، کدهای مخرب در هر دو شبکه راه اندازی شد. در هر دو مورد، فعالیت مشکوک به تدریج کشف شد. شبکه ETA در ابتدا تهدیدها را 36 درصد سریعتر از شبکه غیر ETA شناسایی کرد. در همان زمان، با پیشرفت کار، بهره وری تشخیص در شبکه ETA شروع به افزایش کرد. در نتیجه، پس از چند ساعت کار، دو سوم تهدیدهای فعال در شبکه ETA با موفقیت شناسایی شد که دو برابر بیشتر از شبکه غیر ETA است.

عملکرد ETA به خوبی با Stealthwatch یکپارچه شده است. تهدیدها بر اساس شدت رتبه بندی می شوند و با اطلاعات دقیق و همچنین گزینه های اصلاح پس از تأیید نمایش داده می شوند. نتیجه - ETA کار می کند!

تشخیص و پیشگیری از نفوذ

سیسکو اکنون ابزار امنیتی مؤثر دیگری دارد - سیستم پیشگیری از نفوذ بی‌سیم پیشرفته سیسکو (aWIPS): مکانیزمی برای شناسایی و جلوگیری از تهدیدات شبکه‌های بی‌سیم. راه حل aWIPS در سطح کنترلرها، نقاط دسترسی و نرم افزار مدیریت مرکز DNA سیسکو عمل می کند. تشخیص تهدید، هشدار و پیشگیری ترکیبی از تجزیه و تحلیل ترافیک شبکه، دستگاه شبکه و اطلاعات توپولوژی شبکه، تکنیک های مبتنی بر امضا و تشخیص ناهنجاری برای ارائه تهدیدات بی سیم بسیار دقیق و قابل پیشگیری است.

با ادغام کامل aWIPS در زیرساخت شبکه خود، می توانید به طور مداوم ترافیک بی سیم را در شبکه های سیمی و بی سیم نظارت کنید و از آن برای تجزیه و تحلیل خودکار حملات احتمالی از چندین منبع برای ارائه جامع ترین تشخیص و پیشگیری استفاده کنید.

احراز هویت یعنی

در حال حاضر، علاوه بر ابزارهای کلاسیک احراز هویت، راه حل های سری Cisco Catalyst 9800 از WPA3 پشتیبانی می کنند. WPA3 آخرین نسخه WPA است که مجموعه‌ای از پروتکل‌ها و فناوری‌هایی است که احراز هویت و رمزگذاری شبکه‌های Wi-Fi را فراهم می‌کند.

WPA3 از احراز هویت همزمان برابر (SAE) استفاده می‌کند تا قوی‌ترین محافظت را برای کاربران در برابر تلاش‌های شخص ثالث برای حدس زدن رمز عبور ارائه دهد. هنگامی که یک کلاینت به یک نقطه دسترسی متصل می شود، یک تبادل SAE را انجام می دهد. در صورت موفقیت، هر یک از آنها یک کلید رمزنگاری قوی ایجاد می کنند که کلید جلسه از آن استخراج می شود و سپس وارد حالت تایید می شوند. سپس کلاینت و نقطه دسترسی می توانند هر بار که نیاز به ایجاد یک کلید جلسه است، حالت های دست دادن را وارد کنند. این روش از محرمانه بودن رو به جلو استفاده می کند، که در آن مهاجم می تواند یک کلید را بشکند، اما نه همه کلیدهای دیگر.

یعنی SAE به گونه ای طراحی شده است که مهاجمی که ترافیک را رهگیری می کند تنها یک بار تلاش می کند تا رمز عبور را حدس بزند قبل از اینکه داده های رهگیری شده بی فایده شوند. برای سازماندهی بازیابی رمز عبور طولانی، به دسترسی فیزیکی به نقطه دسترسی نیاز دارید.

حفاظت از دستگاه مشتری

راه حل های بی سیم سری 9800 Cisco Catalyst در حال حاضر ویژگی اصلی حفاظت از مشتری را از طریق Cisco Umbrella WLAN، یک سرویس امنیت شبکه مبتنی بر ابر که در سطح DNS با شناسایی خودکار تهدیدات شناخته شده و نوظهور عمل می کند، ارائه می دهد.

Cisco Umbrella WLAN اتصال ایمن به اینترنت را برای دستگاه های سرویس گیرنده فراهم می کند. این از طریق فیلتر محتوا، یعنی با مسدود کردن دسترسی به منابع در اینترنت مطابق با خط مشی سازمانی به دست می آید. بنابراین، دستگاه های سرویس گیرنده در اینترنت از بدافزارها، باج افزارها و فیشینگ محافظت می شوند. اجرای خط‌مشی بر اساس 60 دسته محتوای به‌روزرسانی شده است.

اتوماسیون

شبکه‌های بی‌سیم امروزی بسیار انعطاف‌پذیرتر و پیچیده‌تر هستند، بنابراین روش‌های سنتی پیکربندی و بازیابی اطلاعات از کنترل‌کننده‌های بی‌سیم کافی نیستند. مدیران شبکه و متخصصان امنیت اطلاعات به ابزارهایی برای اتوماسیون و تجزیه و تحلیل نیاز دارند که فروشندگان بی سیم را بر آن می دارد تا چنین ابزارهایی را ارائه دهند.

برای حل این مشکلات، کنترل‌کننده‌های بی‌سیم سری Catalyst 9800 سیسکو، همراه با API سنتی، از پروتکل پیکربندی شبکه RESTCONF / NETCONF با زبان مدل‌سازی داده یانگ (نسل بعدی دیگر) پشتیبانی می‌کنند.

NETCONF یک پروتکل مبتنی بر XML است که برنامه‌ها می‌توانند از آن برای جستجوی اطلاعات و تغییر پیکربندی دستگاه‌های شبکه مانند کنترل‌کننده‌های بی‌سیم استفاده کنند.

علاوه بر این روش ها، کنترلرهای سری 9800 سیسکو کاتالیست توانایی ضبط، بازیابی و تجزیه و تحلیل داده های جریان اطلاعات را با استفاده از پروتکل های NetFlow و sFlow فراهم می کنند.

برای مدل‌سازی امنیت و ترافیک، توانایی ردیابی جریان‌های خاص ابزار ارزشمندی است. برای حل این مشکل، پروتکل sFlow پیاده سازی شد که به شما امکان می دهد از هر صد بسته، دو بسته را ضبط کنید. با این حال، گاهی اوقات ممکن است این برای تجزیه و تحلیل و مطالعه و ارزیابی کافی جریان کافی نباشد. بنابراین، یک جایگزین NetFlow است که توسط Cisco پیاده سازی شده است، که به شما امکان می دهد 100٪ تمام بسته ها را در یک جریان مشخص برای تجزیه و تحلیل بعدی جمع آوری و صادر کنید.

با این حال، یکی دیگر از ویژگی‌هایی که فقط در پیاده‌سازی سخت‌افزاری کنترل‌کننده‌ها موجود است، که به شما امکان می‌دهد عملکرد شبکه بی‌سیم را در کنترل‌کننده‌های سری Cisco Catalyst 9800 خودکار کنید، پشتیبانی داخلی از زبان پایتون به عنوان یک افزونه برای استفاده است. اسکریپت ها را مستقیماً بر روی خود کنترلر بی سیم.

در نهایت، کنترلرهای سری 9800 سیسکو از پروتکل اثبات شده SNMP نسخه 1، 2 و 3 برای نظارت و مدیریت عملیات پشتیبانی می کنند.

بنابراین، از نظر اتوماسیون، راه‌حل‌های Cisco Catalyst سری 9800 به طور کامل نیازهای تجاری مدرن را برآورده می‌کنند و ابزارهای جدید و منحصربه‌فرد و همچنین آزمایش‌شده زمان را برای عملیات خودکار و تجزیه و تحلیل در شبکه‌های بی‌سیم با هر اندازه و پیچیدگی ارائه می‌دهند.

نتیجه

در راه حل های مبتنی بر کنترلرهای سری 9800 سیسکو Catalyst، سیسکو نتایج عالی در دسته های دسترسی بالا، امنیت و اتوماسیون نشان داد.

این راه حل به طور کامل تمام الزامات در دسترس بودن بالا را برآورده می کند، مانند خرابی فرعی دوم در طول رویدادهای برنامه ریزی نشده و زمان توقف صفر برای رویدادهای برنامه ریزی شده.

کنترلرهای سری Cisco Catalyst 9800 امنیت جامعی را ارائه می کنند که بازرسی عمیق بسته را برای شناسایی و کنترل برنامه، دید کامل جریان داده ها و شناسایی تهدیدهای پنهان در ترافیک رمزگذاری شده و همچنین مکانیسم های احراز هویت و امنیتی پیشرفته را برای دستگاه های مشتری فراهم می کند.

برای اتوماسیون و تجزیه و تحلیل، سری Cisco Catalyst 9800 قابلیت های قدرتمندی را با استفاده از مدل های استاندارد محبوب ارائه می دهد: YANG، NETCONF، RESTCONF، API های سنتی و اسکریپت های داخلی پایتون.

بنابراین، سیسکو یک بار دیگر وضعیت خود را به عنوان تولید کننده پیشرو راه حل های شبکه در جهان، با همگام شدن با زمان و با در نظر گرفتن تمام چالش های تجارت مدرن تأیید می کند.

برای کسب اطلاعات بیشتر در مورد خانواده سوئیچ کاتالیست، مراجعه کنید کاربران آنلاین حاضر در سایت " سیسکو

منبع: www.habr.com

در سال 2019، شرکت مشاور Miercom یک ارزیابی تکنولوژیکی مستقل از کنترلرهای Wi-Fi 6 سری Cisco Catalyst 9800 انجام داد. برای این مطالعه، یک میز آزمایش از کنترلرها و نقاط دسترسی Cisco Wi-Fi 6 مونتاژ شد و راه حل فنی آن بود. در دسته بندی های زیر ارزیابی می شود:

• دسترسی؛
• امنیت؛
• اتوماسیون.

نتایج مطالعه در زیر نشان داده شده است. از سال 2019، عملکرد کنترلرهای سری Cisco Catalyst 9800 به طور قابل توجهی بهبود یافته است - این نکات در این مقاله نیز منعکس شده است.

می توانید در مورد دیگر مزایای فناوری Wi-Fi 6، نمونه هایی از پیاده سازی و زمینه های کاربردی مطالعه کنید اینجا.

بررسی اجمالی راه حل

کنترلرهای Wi-Fi 6 سری Cisco Catalyst 9800

کنترلرهای بی سیم سیسکو Catalyst 9800 Series، بر اساس سیستم عامل IOS-XE (همچنین برای سوئیچ ها و روترهای سیسکو استفاده می شود)، در گزینه های مختلفی در دسترس هستند.

مدل قدیمی کنترلر 9800-80 از توان شبکه بی سیم تا 80 گیگابیت بر ثانیه پشتیبانی می کند. یک کنترلر 9800-80 تا 6000 نقطه دسترسی و حداکثر 64 کلاینت بی سیم را پشتیبانی می کند.

مدل میان رده، کنترلر 9800-40، تا 40 گیگابیت بر ثانیه، حداکثر 2000 نقطه دسترسی و حداکثر 32 کلاینت بی سیم را پشتیبانی می کند.

علاوه بر این مدل ها، تجزیه و تحلیل رقابتی شامل کنترلر بی سیم 9800-CL نیز می شود (CL مخفف Cloud است). 9800-CL در محیط های مجازی روی هایپروایزرهای VMWare ESXI و KVM اجرا می شود و عملکرد آن به منابع سخت افزاری اختصاصی برای ماشین مجازی کنترلر بستگی دارد. در حداکثر پیکربندی، کنترلر سیسکو 9800-CL، مانند مدل قدیمی 9800-80، از مقیاس پذیری تا 6000 نقطه دسترسی و تا 64 کلاینت بی سیم پشتیبانی می کند.

هنگام انجام تحقیقات با کنترلرها، از نقاط دسترسی سری Cisco Aironet AP 4800 استفاده شد که از عملیات در فرکانس‌های 2,4 و 5 گیگاهرتز با قابلیت تغییر پویا به حالت دوگانه 5 گیگاهرتز پشتیبانی می‌کرد.

پایه تست

به عنوان بخشی از آزمایش، یک پایه از دو کنترلر بی سیم Cisco Catalyst 9800-CL که در یک کلاستر کار می کنند و نقاط دسترسی سری Cisco Aironet AP 4800 مونتاژ شد.

لپ‌تاپ‌های دل و اپل و همچنین یک گوشی هوشمند آیفون اپل به‌عنوان دستگاه‌های مشتری استفاده می‌شدند.

تست دسترسی

در دسترس بودن به عنوان توانایی کاربران برای دسترسی و استفاده از یک سیستم یا سرویس تعریف می شود. در دسترس بودن بالا به معنای دسترسی مداوم به یک سیستم یا سرویس، مستقل از رویدادهای خاص است.

در دسترس بودن بالا در چهار سناریو آزمایش شد، سه سناریو اول رویدادهای قابل پیش بینی یا برنامه ریزی شده بودند که ممکن است در طول یا بعد از ساعات کاری رخ دهند. سناریوی پنجم یک شکست کلاسیک است که اتفاقی غیرقابل پیش بینی است.

شرح سناریوها:

• تصحیح خطا – به‌روزرسانی میکرو سیستم (رفع اشکال یا وصله امنیتی)، که به شما امکان می‌دهد یک خطا یا آسیب‌پذیری خاص را بدون به‌روزرسانی کامل نرم‌افزار سیستم برطرف کنید.
• به روز رسانی عملکردی - افزودن یا گسترش عملکرد فعلی سیستم با نصب به روز رسانی های کاربردی.
• به روز رسانی کامل – به روز رسانی تصویر نرم افزار کنترلر.
• افزودن نقطه دسترسی – افزودن مدل نقطه دسترسی جدید به شبکه بی سیم بدون نیاز به پیکربندی مجدد یا به روز رسانی نرم افزار کنترلر بی سیم.
• خرابی - خرابی کنترلر بی سیم.

رفع اشکالات و آسیب پذیری ها

اغلب، با بسیاری از راه حل های رقابتی، وصله نیاز به به روز رسانی نرم افزار کامل سیستم کنترل کننده بی سیم دارد که می تواند منجر به خرابی برنامه ریزی نشده شود. در مورد محلول سیسکو، وصله بدون توقف محصول انجام می شود. در حالی که زیرساخت بی سیم به کار خود ادامه می دهد وصله ها را می توان روی هر یک از اجزا نصب کرد.

خود روش بسیار ساده است. فایل پچ در پوشه بوت استرپ در یکی از کنترلرهای بی سیم سیسکو کپی می شود و سپس عملیات از طریق رابط کاربری گرافیکی یا خط فرمان تایید می شود. علاوه بر این، شما همچنین می توانید رفع مشکل را از طریق رابط کاربری گرافیکی یا خط فرمان، بدون وقفه در عملکرد سیستم، لغو و حذف کنید.

به روز رسانی عملکردی

به روز رسانی نرم افزار کاربردی برای فعال کردن ویژگی های جدید اعمال می شود. یکی از این پیشرفت ها به روز رسانی پایگاه داده امضای برنامه است. این بسته به صورت آزمایشی بر روی کنترلرهای سیسکو نصب شد. درست مانند وصله‌ها، به‌روزرسانی‌های ویژگی بدون هیچ خرابی یا قطعی سیستم اعمال، نصب یا حذف می‌شوند.

آپدیت کامل

در حال حاضر، به‌روزرسانی کامل تصویر نرم‌افزار کنترلر به همان شیوه به‌روزرسانی عملکردی، یعنی بدون خرابی انجام می‌شود. با این حال، این ویژگی تنها در پیکربندی کلاستر زمانی در دسترس است که بیش از یک کنترلر وجود داشته باشد. یک به روز رسانی کامل به صورت متوالی انجام می شود: ابتدا روی یک کنترلر، سپس روی دومی.

اضافه کردن یک مدل نقطه دسترسی جدید

اتصال نقاط دسترسی جدید، که قبلاً با تصویر نرم‌افزار کنترل‌کننده استفاده‌شده، به یک شبکه بی‌سیم کار نمی‌کردند، یک عملیات نسبتاً رایج است، به‌ویژه در شبکه‌های بزرگ (فرودگاه‌ها، هتل‌ها، کارخانه‌ها). اغلب در راه حل های رقیب، این عملیات نیاز به به روز رسانی نرم افزار سیستم یا راه اندازی مجدد کنترلرها دارد.

هنگام اتصال Wi-Fi 6 Access Point های جدید به دسته ای از کنترلرهای سری Cisco Catalyst 9800، چنین مشکلی مشاهده نمی شود. اتصال نقاط جدید به کنترل‌کننده بدون به‌روزرسانی نرم‌افزار کنترل‌کننده انجام می‌شود و این فرآیند نیازی به راه‌اندازی مجدد ندارد، بنابراین به هیچ وجه شبکه بی‌سیم را تحت تأثیر قرار نمی‌دهد.

خرابی کنترلر

محیط تست از دو کنترلر Wi-Fi 6 (Active/StandBy) استفاده می کند و نقطه دسترسی به هر دو کنترلر ارتباط مستقیم دارد.

یک کنترلر بی سیم فعال است و دیگری به ترتیب پشتیبان است. اگر کنترل کننده فعال از کار بیفتد، کنترلر پشتیبان کنترل می شود و وضعیت آن به فعال تغییر می کند. این روش بدون وقفه برای نقطه دسترسی و Wi-Fi برای مشتریان انجام می شود.

امنیت

این بخش جنبه‌های امنیتی را مورد بحث قرار می‌دهد، که یک موضوع بسیار مهم در شبکه‌های بی‌سیم است. امنیت راه حل بر اساس ویژگی های زیر ارزیابی می شود:

• تشخیص برنامه؛
• ردیابی جریان؛
• تجزیه و تحلیل ترافیک رمزگذاری شده؛
• تشخیص و پیشگیری از نفوذ؛
• احراز هویت یعنی؛
• ابزارهای محافظت از دستگاه مشتری

تشخیص برنامه

در میان محصولات متنوع در بازار وای فای سازمانی و صنعتی، تفاوت هایی در میزان شناسایی ترافیک توسط محصولات توسط محصولات وجود دارد. محصولات تولید کنندگان مختلف ممکن است تعداد متفاوتی از برنامه ها را شناسایی کنند. با این حال، بسیاری از برنامه‌هایی که راه‌حل‌های رقابتی برای شناسایی فهرست می‌کنند، در واقع وب‌سایت‌ها هستند و نه برنامه‌های منحصربه‌فرد.

یکی دیگر از ویژگی های جالب تشخیص برنامه وجود دارد: راه حل ها در دقت شناسایی بسیار متفاوت هستند.

با در نظر گرفتن تمام تست‌های انجام‌شده، می‌توانیم با مسئولیت‌پذیری اعلام کنیم که راه‌حل Wi-Fi-6 سیسکو شناسایی برنامه‌ها را بسیار دقیق انجام می‌دهد: Jabber، Netflix، Dropbox، YouTube و سایر برنامه‌های محبوب و همچنین سرویس‌های وب به دقت شناسایی شدند. راه‌حل‌های سیسکو همچنین می‌توانند با استفاده از DPI (بازرسی عمیق بسته) در بسته‌های داده عمیق‌تر فرو روند.

ردیابی جریان ترافیک

آزمایش دیگری برای بررسی اینکه آیا سیستم می تواند جریان داده ها (مانند جابجایی فایل های بزرگ) را به طور دقیق ردیابی و گزارش کند، انجام شد. برای آزمایش این، یک فایل 6,5 مگابایتی با استفاده از پروتکل انتقال فایل (FTP) از طریق شبکه ارسال شد.

راه حل سیسکو به طور کامل به وظیفه خود عمل کرد و به لطف NetFlow و قابلیت های سخت افزاری آن توانست این ترافیک را ردیابی کند. ترافیک با مقدار دقیق داده های منتقل شده بلافاصله شناسایی و شناسایی شد.

تجزیه و تحلیل ترافیک رمزگذاری شده

ترافیک داده های کاربر به طور فزاینده ای رمزگذاری می شود. این کار به منظور محافظت از آن در برابر ردیابی یا رهگیری توسط مهاجمان انجام می شود. اما در عین حال، هکرها به طور فزاینده ای از رمزگذاری برای مخفی کردن بدافزار خود و انجام سایر عملیات مشکوک مانند Man-in-the-Middle (MiTM) یا حملات keylogging استفاده می کنند.

اکثر کسب و کارها برخی از ترافیک رمزگذاری شده خود را ابتدا با رمزگشایی با استفاده از فایروال یا سیستم های جلوگیری از نفوذ بررسی می کنند. اما این فرآیند زمان زیادی می برد و برای عملکرد کل شبکه سودی ندارد. علاوه بر این، پس از رمزگشایی، این داده ها در برابر چشمان کنجکاو آسیب پذیر می شوند.

کنترلرهای سری Cisco Catalyst 9800 با موفقیت مشکل تجزیه و تحلیل ترافیک رمزگذاری شده را با روش های دیگر حل می کنند. راه حلی که آنالیز ترافیک رمزگذاری شده (ETA) نام دارد. ETA فناوری است که در حال حاضر هیچ مشابهی در راه حل های رقابتی ندارد و بدافزار را در ترافیک رمزگذاری شده بدون نیاز به رمزگشایی شناسایی می کند. ETA یک ویژگی اصلی IOS-XE است که شامل Enhanced NetFlow است و از الگوریتم های رفتاری پیشرفته برای شناسایی الگوهای ترافیک مخرب پنهان شده در ترافیک رمزگذاری شده استفاده می کند.

ETA پیام‌ها را رمزگشایی نمی‌کند، اما نمایه‌های ابرداده جریان‌های ترافیک رمزگذاری‌شده - اندازه بسته، فواصل زمانی بین بسته‌ها و موارد دیگر را جمع‌آوری می‌کند. سپس ابرداده در رکوردهای NetFlow v9 به سیسکو Stealthwatch صادر می شود.

عملکرد کلیدی Stealthwatch نظارت مداوم بر ترافیک و همچنین ایجاد یک خط پایه از فعالیت عادی شبکه است. Stealthwatch با استفاده از فراداده جریان رمزگذاری شده ارسال شده توسط ETA، یادگیری ماشینی چند لایه را برای شناسایی ناهنجاری های ترافیکی رفتاری که ممکن است نشان دهنده رویدادهای مشکوک باشد، اعمال می کند.

سال گذشته، سیسکو Miercom را درگیر کرد تا راه حل تجزیه و تحلیل ترافیک رمزگذاری شده سیسکو را به طور مستقل ارزیابی کند. در طی این ارزیابی، Miercom به طور جداگانه تهدیدهای شناخته شده و ناشناخته (ویروس ها، تروجان ها، باج افزار) را در ترافیک رمزگذاری شده و رمزگذاری نشده در سراسر شبکه های بزرگ ETA و غیر ETA ارسال کرد تا تهدیدات را شناسایی کند.

برای آزمایش، کدهای مخرب در هر دو شبکه راه اندازی شد. در هر دو مورد، فعالیت مشکوک به تدریج کشف شد. شبکه ETA در ابتدا تهدیدها را 36 درصد سریعتر از شبکه غیر ETA شناسایی کرد. در همان زمان، با پیشرفت کار، بهره وری تشخیص در شبکه ETA شروع به افزایش کرد. در نتیجه، پس از چند ساعت کار، دو سوم تهدیدهای فعال در شبکه ETA با موفقیت شناسایی شد که دو برابر بیشتر از شبکه غیر ETA است.

عملکرد ETA به خوبی با Stealthwatch یکپارچه شده است. تهدیدها بر اساس شدت رتبه بندی می شوند و با اطلاعات دقیق و همچنین گزینه های اصلاح پس از تأیید نمایش داده می شوند. نتیجه - ETA کار می کند!

تشخیص و پیشگیری از نفوذ

سیسکو اکنون ابزار امنیتی مؤثر دیگری دارد - سیستم پیشگیری از نفوذ بی‌سیم پیشرفته سیسکو (aWIPS): مکانیزمی برای شناسایی و جلوگیری از تهدیدات شبکه‌های بی‌سیم. راه حل aWIPS در سطح کنترلرها، نقاط دسترسی و نرم افزار مدیریت مرکز DNA سیسکو عمل می کند. تشخیص تهدید، هشدار و پیشگیری ترکیبی از تجزیه و تحلیل ترافیک شبکه، دستگاه شبکه و اطلاعات توپولوژی شبکه، تکنیک های مبتنی بر امضا و تشخیص ناهنجاری برای ارائه تهدیدات بی سیم بسیار دقیق و قابل پیشگیری است.

با ادغام کامل aWIPS در زیرساخت شبکه خود، می توانید به طور مداوم ترافیک بی سیم را در شبکه های سیمی و بی سیم نظارت کنید و از آن برای تجزیه و تحلیل خودکار حملات احتمالی از چندین منبع برای ارائه جامع ترین تشخیص و پیشگیری استفاده کنید.

احراز هویت یعنی

در حال حاضر، علاوه بر ابزارهای کلاسیک احراز هویت، راه حل های سری Cisco Catalyst 9800 از WPA3 پشتیبانی می کنند. WPA3 آخرین نسخه WPA است که مجموعه‌ای از پروتکل‌ها و فناوری‌هایی است که احراز هویت و رمزگذاری شبکه‌های Wi-Fi را فراهم می‌کند.

WPA3 از احراز هویت همزمان برابر (SAE) استفاده می‌کند تا قوی‌ترین محافظت را برای کاربران در برابر تلاش‌های شخص ثالث برای حدس زدن رمز عبور ارائه دهد. هنگامی که یک کلاینت به یک نقطه دسترسی متصل می شود، یک تبادل SAE را انجام می دهد. در صورت موفقیت، هر یک از آنها یک کلید رمزنگاری قوی ایجاد می کنند که کلید جلسه از آن استخراج می شود و سپس وارد حالت تایید می شوند. سپس کلاینت و نقطه دسترسی می توانند هر بار که نیاز به ایجاد یک کلید جلسه است، حالت های دست دادن را وارد کنند. این روش از محرمانه بودن رو به جلو استفاده می کند، که در آن مهاجم می تواند یک کلید را بشکند، اما نه همه کلیدهای دیگر.

یعنی SAE به گونه ای طراحی شده است که مهاجمی که ترافیک را رهگیری می کند تنها یک بار تلاش می کند تا رمز عبور را حدس بزند قبل از اینکه داده های رهگیری شده بی فایده شوند. برای سازماندهی بازیابی رمز عبور طولانی، به دسترسی فیزیکی به نقطه دسترسی نیاز دارید.

حفاظت از دستگاه مشتری

راه حل های بی سیم سری 9800 Cisco Catalyst در حال حاضر ویژگی اصلی حفاظت از مشتری را از طریق Cisco Umbrella WLAN، یک سرویس امنیت شبکه مبتنی بر ابر که در سطح DNS با شناسایی خودکار تهدیدات شناخته شده و نوظهور عمل می کند، ارائه می دهد.

Cisco Umbrella WLAN اتصال ایمن به اینترنت را برای دستگاه های سرویس گیرنده فراهم می کند. این از طریق فیلتر محتوا، یعنی با مسدود کردن دسترسی به منابع در اینترنت مطابق با خط مشی سازمانی به دست می آید. بنابراین، دستگاه های سرویس گیرنده در اینترنت از بدافزارها، باج افزارها و فیشینگ محافظت می شوند. اجرای خط‌مشی بر اساس 60 دسته محتوای به‌روزرسانی شده است.

اتوماسیون

شبکه‌های بی‌سیم امروزی بسیار انعطاف‌پذیرتر و پیچیده‌تر هستند، بنابراین روش‌های سنتی پیکربندی و بازیابی اطلاعات از کنترل‌کننده‌های بی‌سیم کافی نیستند. مدیران شبکه و متخصصان امنیت اطلاعات به ابزارهایی برای اتوماسیون و تجزیه و تحلیل نیاز دارند که فروشندگان بی سیم را بر آن می دارد تا چنین ابزارهایی را ارائه دهند.

برای حل این مشکلات، کنترل‌کننده‌های بی‌سیم سری Catalyst 9800 سیسکو، همراه با API سنتی، از پروتکل پیکربندی شبکه RESTCONF / NETCONF با زبان مدل‌سازی داده یانگ (نسل بعدی دیگر) پشتیبانی می‌کنند.

NETCONF یک پروتکل مبتنی بر XML است که برنامه‌ها می‌توانند از آن برای جستجوی اطلاعات و تغییر پیکربندی دستگاه‌های شبکه مانند کنترل‌کننده‌های بی‌سیم استفاده کنند.

علاوه بر این روش ها، کنترلرهای سری 9800 سیسکو کاتالیست توانایی ضبط، بازیابی و تجزیه و تحلیل داده های جریان اطلاعات را با استفاده از پروتکل های NetFlow و sFlow فراهم می کنند.

برای مدل‌سازی امنیت و ترافیک، توانایی ردیابی جریان‌های خاص ابزار ارزشمندی است. برای حل این مشکل، پروتکل sFlow پیاده سازی شد که به شما امکان می دهد از هر صد بسته، دو بسته را ضبط کنید. با این حال، گاهی اوقات ممکن است این برای تجزیه و تحلیل و مطالعه و ارزیابی کافی جریان کافی نباشد. بنابراین، یک جایگزین NetFlow است که توسط Cisco پیاده سازی شده است، که به شما امکان می دهد 100٪ تمام بسته ها را در یک جریان مشخص برای تجزیه و تحلیل بعدی جمع آوری و صادر کنید.

با این حال، یکی دیگر از ویژگی‌هایی که فقط در پیاده‌سازی سخت‌افزاری کنترل‌کننده‌ها موجود است، که به شما امکان می‌دهد عملکرد شبکه بی‌سیم را در کنترل‌کننده‌های سری Cisco Catalyst 9800 خودکار کنید، پشتیبانی داخلی از زبان پایتون به عنوان یک افزونه برای استفاده است. اسکریپت ها را مستقیماً بر روی خود کنترلر بی سیم.

در نهایت، کنترلرهای سری 9800 سیسکو از پروتکل اثبات شده SNMP نسخه 1، 2 و 3 برای نظارت و مدیریت عملیات پشتیبانی می کنند.

بنابراین، از نظر اتوماسیون، راه‌حل‌های Cisco Catalyst سری 9800 به طور کامل نیازهای تجاری مدرن را برآورده می‌کنند و ابزارهای جدید و منحصربه‌فرد و همچنین آزمایش‌شده زمان را برای عملیات خودکار و تجزیه و تحلیل در شبکه‌های بی‌سیم با هر اندازه و پیچیدگی ارائه می‌دهند.

نتیجه

در راه حل های مبتنی بر کنترلرهای سری 9800 سیسکو Catalyst، سیسکو نتایج عالی در دسته های دسترسی بالا، امنیت و اتوماسیون نشان داد.

این راه حل به طور کامل تمام الزامات در دسترس بودن بالا را برآورده می کند، مانند خرابی فرعی دوم در طول رویدادهای برنامه ریزی نشده و زمان توقف صفر برای رویدادهای برنامه ریزی شده.

کنترلرهای سری Cisco Catalyst 9800 امنیت جامعی را ارائه می کنند که بازرسی عمیق بسته را برای شناسایی و کنترل برنامه، دید کامل جریان داده ها و شناسایی تهدیدهای پنهان در ترافیک رمزگذاری شده و همچنین مکانیسم های احراز هویت و امنیتی پیشرفته را برای دستگاه های مشتری فراهم می کند.

برای اتوماسیون و تجزیه و تحلیل، سری Cisco Catalyst 9800 قابلیت های قدرتمندی را با استفاده از مدل های استاندارد محبوب ارائه می دهد: YANG، NETCONF، RESTCONF، API های سنتی و اسکریپت های داخلی پایتون.

بنابراین، سیسکو یک بار دیگر وضعیت خود را به عنوان تولید کننده پیشرو راه حل های شبکه در جهان، با همگام شدن با زمان و با در نظر گرفتن تمام چالش های تجارت مدرن تأیید می کند.

برای کسب اطلاعات بیشتر در مورد خانواده سوئیچ کاتالیست، مراجعه کنید کاربران آنلاین حاضر در سایت " سیسکو

منبع: www.habr.com