Ef þú ert með stjórnandi, ekkert vandamál: hvernig á að viðhalda þráðlausa netkerfinu þínu auðveldlega

Árið 2019 framkvæmdi ráðgjafafyrirtækið Miercom sjálfstætt tæknimat á Wi-Fi 6 stýringar af Cisco Catalyst 9800 seríunni. Fyrir þessa rannsókn var settur saman prófunarbekkur úr Cisco Wi-Fi 6 stýringum og aðgangsstöðum og tæknilausnin var metið í eftirfarandi flokkum:

• Framboð;
• Öryggi;
• Sjálfvirkni.

Niðurstöður rannsóknarinnar eru sýndar hér að neðan. Síðan 2019 hefur virkni Cisco Catalyst 9800 röð stýringa verið bætt verulega - þessi atriði endurspeglast einnig í þessari grein.

Þú getur lesið um aðra kosti Wi-Fi 6 tækni, dæmi um útfærslu og notkunarsvið hér.

Yfirlit lausna

Wi-Fi 6 stýringar Cisco Catalyst 9800 röð

Cisco Catalyst 9800 Series Wireless Controllers, byggðir á IOS-XE stýrikerfinu (einnig notaðir fyrir Cisco rofa og beinar), eru fáanlegir í ýmsum valkostum.

Eldri gerð 9800-80 stjórnandans styður afköst þráðlausra neta allt að 80 Gbps. Einn 9800-80 stjórnandi styður allt að 6000 aðgangsstaði og allt að 64 þráðlausa viðskiptavini.

Meðalgerðin, 9800-40 stjórnandi, styður allt að 40 Gbps afköst, allt að 2000 aðgangsstaði og allt að 32 þráðlausa viðskiptavini.

Til viðbótar við þessar gerðir innihélt samkeppnisgreiningin einnig 9800-CL þráðlausa stjórnandann (CL stendur fyrir Cloud). 9800-CL keyrir í sýndarumhverfi á VMWare ESXI og KVM hypervisorum og afköst hans eru háð sérstökum vélbúnaðarauðlindum fyrir sýndarvél stjórnandans. Í hámarksstillingu sinni styður Cisco 9800-CL stjórnandi, eins og eldri gerð 9800-80, sveigjanleika allt að 6000 aðgangsstaði og allt að 64 þráðlausa viðskiptavini.

Þegar unnið var að rannsóknum með stýringum voru Cisco Aironet AP 4800 röð aðgangsstaðir notaðir, sem studdu rekstur á tíðnum 2,4 og 5 GHz með getu til að skipta yfir í tvöfaldan 5-GHz stillingu.

Prófstandur

Sem hluti af prófuninni var standur settur saman úr tveimur Cisco Catalyst 9800-CL þráðlausum stjórnendum sem starfa í þyrpingu og Cisco Aironet AP 4800 röð aðgangsstaði.

Fartölvur frá Dell og Apple, auk Apple iPhone snjallsíma, voru notaðar sem biðlaratæki.

Aðgengisprófun

Aðgengi er skilgreint sem geta notenda til að fá aðgang að og nota kerfi eða þjónustu. Mikið framboð felur í sér stöðugan aðgang að kerfi eða þjónustu, óháð ákveðnum atburðum.

Mikið framboð var prófað í fjórum sviðsmyndum, fyrstu þrjár sviðsmyndirnar voru fyrirsjáanlegar eða áætlaðar atburðir sem gætu átt sér stað á eða eftir vinnutíma. Fimmta atburðarásin er klassísk bilun, sem er óútreiknanlegur atburður.

Lýsing á atburðarás:

• Villuleiðrétting – öruppfærsla á kerfinu (villuleiðrétting eða öryggisplástur), sem gerir þér kleift að laga tiltekna villu eða varnarleysi án fullkominnar uppfærslu á kerfishugbúnaðinum;
• Hagnýtur uppfærsla - bæta við eða stækka núverandi virkni kerfisins með því að setja upp hagnýtar uppfærslur;
• Full uppfærsla - uppfærðu hugbúnaðarmynd stjórnandans;
• Aðgangsstað bætt við – að bæta nýrri gerð aðgangsstaða við þráðlaust net án þess að þurfa að endurstilla eða uppfæra hugbúnaðinn fyrir þráðlausa stjórnandi;
• Bilun—bilun í þráðlausa stjórnandanum.

Að laga villur og veikleika

Oft, með mörgum samkeppnislausnum, krefst patching fullkominnar hugbúnaðaruppfærslu á þráðlausa stjórnunarkerfinu, sem getur leitt til ófyrirséðrar niður í miðbæ. Þegar um er að ræða Cisco lausnina er plástra framkvæmd án þess að stöðva vöruna. Hægt er að setja plástra á hvaða íhluti sem er á meðan þráðlausa innviðin heldur áfram að starfa.

Aðferðin sjálf er frekar einföld. Plásturskráin er afrituð í bootstrap möppuna á einum af þráðlausu Cisco stýristækjunum og aðgerðin er síðan staðfest með GUI eða skipanalínunni. Að auki geturðu einnig afturkallað og fjarlægt lagfæringuna í gegnum GUI eða skipanalínuna, einnig án þess að trufla kerfisrekstur.

Virk uppfærsla

Hagnýtar hugbúnaðaruppfærslur eru notaðar til að virkja nýja eiginleika. Ein af þessum endurbótum er að uppfæra undirskriftargagnagrunn forritsins. Þessi pakki var settur upp á Cisco stýringar sem próf. Rétt eins og með plástra, eru eiginleikauppfærslur beittar, settar upp eða fjarlægðar án nokkurrar niður í miðbæ eða truflana í kerfinu.

Full uppfærsla

Í augnablikinu er full uppfærsla á hugbúnaðarmynd stjórnandans framkvæmd á sama hátt og hagnýt uppfærsla, það er án niður í miðbæ. Hins vegar er þessi eiginleiki aðeins fáanlegur í klasauppsetningu þegar það eru fleiri en einn stjórnandi. Heil uppfærsla er framkvæmd í röð: fyrst á einum stjórnanda, síðan á þeim seinni.

Bætir við nýju aðgangsstaðalíkani

Það er nokkuð algeng aðgerð að tengja nýja aðgangsstaði, sem ekki hafa áður verið starfræktir með hugbúnaðarmynd stjórnandans sem notuð er, við þráðlaust net, sérstaklega í stórum netum (flugvöllum, hótelum, verksmiðjum). Oft í samkeppnislausnum þarf þessi aðgerð að uppfæra kerfishugbúnaðinn eða endurræsa stýringarnar.

Þegar nýir Wi-Fi 6 aðgangsstaðir eru tengdir við þyrping Cisco Catalyst 9800 seríustýringa koma engin slík vandamál fram. Tenging nýrra punkta við stjórnandann fer fram án þess að uppfæra stýribúnaðarhugbúnaðinn og þetta ferli krefst ekki endurræsingar og hefur því ekki áhrif á þráðlausa netið á nokkurn hátt.

Bilun í stjórnanda

Prófunarumhverfið notar tvo Wi-Fi 6 stýringar (Active/StandBy) og aðgangsstaðurinn er með beina tengingu við báða stýringarnar.

Einn þráðlausa stjórnandi er virkur og hinn er öryggisafrit. Ef virki stjórnandi bilar tekur varastjórnandi við og staða hans breytist í virk. Þessi aðferð á sér stað án truflana fyrir aðgangsstaðinn og Wi-Fi fyrir viðskiptavini.

öryggi

Í þessum hluta er fjallað um öryggisþætti, sem er afar brýnt mál í þráðlausum netum. Öryggi lausnarinnar er metið út frá eftirfarandi eiginleikum:

• Umsókn viðurkenning;
• Flæðismæling;
• Greining á dulkóðuðu umferð;
• Uppgötvun og forvarnir gegn innbrotum;
• Auðkenning þýðir;
• Verndunartæki viðskiptavinartækja.

Umsókn viðurkenning

Meðal margvíslegra vara á Wi-Fi fyrirtækja- og iðnaðarmarkaði er munur á því hversu vel vörurnar bera kennsl á umferð eftir notkun. Vörur frá mismunandi framleiðendum geta auðkennt mismunandi fjölda forrita. Hins vegar eru mörg af þeim forritum sem samkeppnislausnir telja upp sem mögulegar til auðkenningar eru í raun vefsíður en ekki einstök forrit.

Það er annar áhugaverður eiginleiki við viðurkenningu forrita: lausnir eru mjög mismunandi hvað varðar auðkenningarnákvæmni.

Að teknu tilliti til allra prófana sem gerðar voru, getum við fullyrt á ábyrgan hátt að Wi-Fi-6 lausn Cisco framkvæmir auðkenningu forrita mjög nákvæmlega: Jabber, Netflix, Dropbox, YouTube og önnur vinsæl forrit, sem og vefþjónusta, voru nákvæmlega auðkennd. Cisco lausnir geta einnig kafað dýpra í gagnapakka með því að nota DPI (Deep Packet Inspection).

Umferðarflæði mælingar

Önnur próf var gerð til að sjá hvort kerfið gæti fylgst nákvæmlega með og tilkynnt gagnaflæði (eins og stórar skráarhreyfingar). Til að prófa þetta var 6,5 megabæta skrá send yfir netið með File Transfer Protocol (FTP).

Cisco lausnin var fullkomlega í stakk búin og gat fylgst með þessari umferð þökk sé NetFlow og vélbúnaðargetu þess. Umferð greindist og greindist strax með nákvæmu magni gagna sem flutt var.

Dulkóðuð umferðargreining

Gagnaumferð notenda er í auknum mæli dulkóðuð. Þetta er gert til að verja það gegn því að árásarmenn elti hann eða stöðvi hann. En á sama tíma nota tölvuþrjótar dulkóðun í auknum mæli til að fela spilliforrit og framkvæma aðrar vafasamar aðgerðir eins og Man-in-the-Middle (MiTM) eða lyklaskráningarárásir.

Flest fyrirtæki skoða hluta af dulkóðuðu umferð sinni með því að afkóða hana fyrst með því að nota eldveggi eða innbrotsvarnakerfi. En þetta ferli tekur mikinn tíma og gagnast ekki afköstum netsins í heild sinni. Að auki, þegar þau hafa verið afkóðuð, verða þessi gögn viðkvæm fyrir hnýsnum augum.

Cisco Catalyst 9800 Series stýringar leysa vel vandamálið við að greina dulkóðaða umferð með öðrum hætti. Lausnin heitir Encrypted Traffic Analytics (ETA). ETA er tækni sem nú á sér engar hliðstæður í samkeppnislausnum og greinir spilliforrit í dulkóðuðu umferð án þess að þurfa að afkóða það. ETA er kjarnaeiginleiki IOS-XE sem felur í sér Enhanced NetFlow og notar háþróaða hegðunaralgrím til að bera kennsl á skaðlegt umferðarmynstur sem leynast í dulkóðuðu umferð.

ETA afkóðar ekki skilaboð heldur safnar lýsigagnasniðum um dulkóðuð umferðarflæði - pakkastærð, tímabil á milli pakka og margt fleira. Lýsigögnin eru síðan flutt út í NetFlow v9 færslum til Cisco Stealthwatch.

Lykilhlutverk Stealthwatch er að fylgjast stöðugt með umferð, auk þess að búa til grunnlínu fyrir eðlilega netvirkni. Með því að nota dulkóðuð lýsigögn straums sem send eru til þess af ETA, notar Stealthwatch marglaga vélanám til að bera kennsl á frávik í hegðunarumferð sem geta bent til grunsamlegra atburða.

Á síðasta ári fékk Cisco Miercom til að meta Cisco Encrypted Traffic Analytics lausn sína sjálfstætt. Við þetta mat sendi Miercom sérstaklega þekktar og óþekktar ógnir (vírusar, tróverji, lausnarhugbúnaður) í dulkóðuðu og ódulkóðuðu umferðarkerfi yfir stór ETA og ekki ETA net til að bera kennsl á ógnir.

Til að prófa var illgjarn kóða settur af stað á báðum netum. Í báðum tilfellum kom smám saman í ljós grunsamleg virkni. ETA netið greindi upphaflega ógnir 36% hraðar en ekki ETA netið. Á sama tíma, þegar leið á vinnuna, fór framleiðni greiningar í ETA netinu að aukast. Fyrir vikið, eftir nokkurra klukkustunda vinnu, greindust tveir þriðju virkra ógna í ETA netinu, sem er tvöfalt meira en í kerfinu sem ekki er ETA.

ETA virkni er vel samþætt Stealthwatch. Ógnunum er raðað eftir alvarleika og þær birtar með nákvæmum upplýsingum, sem og úrbótamöguleikum þegar þær hafa verið staðfestar. Niðurstaða - ETA virkar!

Innbrotsgreining og forvarnir

Cisco hefur nú annað áhrifaríkt öryggistæki - Cisco Advanced Wireless Intrusion Prevention System (aWIPS): kerfi til að greina og koma í veg fyrir ógnir við þráðlaus netkerfi. aWIPS lausnin starfar á vettvangi stjórnenda, aðgangsstaða og Cisco DNA Center stjórnunarhugbúnaðar. Ógnagreining, viðvörun og forvarnir sameina netumferðargreiningu, upplýsingar um nettæki og netkerfi, tækni sem byggir á undirskriftum og fráviksgreiningu til að skila mjög nákvæmum og fyrirbyggjandi þráðlausum ógnum.

Með því að samþætta aWIPS að fullu innviði netkerfisins geturðu fylgst stöðugt með þráðlausri umferð á bæði hlerunarbúnaði og þráðlausum netum og notað það til að greina sjálfkrafa hugsanlegar árásir frá mörgum aðilum til að veita sem víðtækustu uppgötvun og forvarnir sem mögulegt er.

Auðkenning þýðir

Í augnablikinu, auk klassískra auðkenningartækja, styðja Cisco Catalyst 9800 röð lausnir WPA3. WPA3 er nýjasta útgáfan af WPA, sem er sett af samskiptareglum og tækni sem veitir auðkenningu og dulkóðun fyrir Wi-Fi net.

WPA3 notar Simultaneous Authentication of Equals (SAE) til að veita notendum sterkustu vörn gegn tilraunum þriðja aðila til að giska á lykilorð. Þegar viðskiptavinur tengist aðgangsstað framkvæmir hann SAE skipti. Ef vel tekst til mun hver þeirra búa til dulmálslega sterkan lykil sem lotulykillinn verður fenginn úr og síðan fara þeir í staðfestingarstöðu. Biðlarinn og aðgangsstaðurinn geta síðan slegið inn handabandsstöðu í hvert skipti sem þarf að búa til lotulykil. Aðferðin notar áframhaldandi leynd, þar sem árásarmaður getur sprungið einn lykil, en ekki alla aðra lykla.

Það er að segja, SAE er hannað þannig að árásarmaður sem stöðvar umferð hefur aðeins eina tilraun til að giska á lykilorðið áður en hleruð gögn verða ónýt. Til að skipuleggja langa endurheimt lykilorðs þarftu líkamlegan aðgang að aðgangsstaðnum.

Vörn viðskiptavinartækja

Cisco Catalyst 9800 Series þráðlausar lausnir veita nú aðal verndareiginleika viðskiptavina í gegnum Cisco Umbrella WLAN, skýjabundin netöryggisþjónusta sem starfar á DNS stigi með sjálfvirkri greiningu á bæði þekktum og nýjum ógnum.

Cisco Umbrella WLAN veitir tækjum viðskiptavinar örugga tengingu við internetið. Þetta er náð með efnissíun, það er að segja með því að loka fyrir aðgang að auðlindum á internetinu í samræmi við stefnu fyrirtækisins. Þannig eru biðlaratæki á netinu vernduð gegn spilliforritum, lausnarhugbúnaði og vefveiðum. Framfylgni stefnu byggir á 60 efnisflokkum sem eru stöðugt uppfærðir.

Sjálfvirkni

Þráðlaus netkerfi nútímans eru mun sveigjanlegri og flóknari og því duga hefðbundnar aðferðir við að stilla og sækja upplýsingar úr þráðlausum stjórnendum ekki. Netkerfisstjórar og sérfræðingar í upplýsingaöryggi krefjast verkfæra fyrir sjálfvirkni og greiningar, sem hvetur þráðlausa söluaðila til að bjóða slík verkfæri.

Til að leysa þessi vandamál veita Cisco Catalyst 9800 röð þráðlausa stýringar, ásamt hefðbundnum API, stuðning við RESTCONF / NETCONF netstillingarsamskiptareglur með YANG (Yet Another Next Generation) gagnalíkanamálinu.

NETCONF er XML-undirstaða siðareglur sem forrit geta notað til að spyrjast fyrir um upplýsingar og breyta uppsetningu nettækja eins og þráðlausra stýringa.

Auk þessara aðferða veita Cisco Catalyst 9800 Series stýringarnar möguleika á að fanga, sækja og greina upplýsingaflæðisgögn með NetFlow og sFlow samskiptareglum.

Fyrir öryggis- og umferðarlíkön er hæfileikinn til að fylgjast með sérstökum flæði dýrmætt tæki. Til að leysa þetta vandamál var sFlow samskiptareglan útfærð, sem gerir þér kleift að fanga tvo pakka af hverjum hundrað. Hins vegar, stundum gæti þetta ekki verið nóg til að greina og rannsaka og meta flæðið á fullnægjandi hátt. Þess vegna er valkostur NetFlow, útfært af Cisco, sem gerir þér kleift að 100% safna og flytja út alla pakka í tilteknu flæði til síðari greiningar.

Annar eiginleiki sem er þó aðeins fáanlegur í vélbúnaðarútfærslu stýrinanna, sem gerir þér kleift að gera sjálfvirkan rekstur þráðlausa netsins í Cisco Catalyst 9800 röð stýrisbúnaðinum, er innbyggður stuðningur fyrir Python tungumálið sem viðbót til að nota forskriftir beint á þráðlausa stjórnandann sjálfan.

Að lokum styðja Cisco Catalyst 9800 Series stýringar sannaða SNMP útgáfu 1, 2 og 3 samskiptareglur fyrir eftirlit og stjórnunaraðgerðir.

Þannig, hvað varðar sjálfvirkni, uppfylla Cisco Catalyst 9800 Series lausnir að fullu nútíma viðskiptakröfur, bjóða upp á bæði ný og einstök, sem og tímaprófuð verkfæri fyrir sjálfvirkar aðgerðir og greiningar í þráðlausum netum af hvaða stærð og flókið sem er.

Ályktun

Í lausnum byggðar á Cisco Catalyst 9800 Series Controllers, sýndi Cisco framúrskarandi árangur í flokkum hás framboðs, öryggis og sjálfvirkni.

Lausnin uppfyllir að fullu allar háar kröfur um aðgengi, svo sem bilun á undir-sekúndu við óskipulagða atburði og núll niður í miðbæ fyrir áætlaða atburði.

Cisco Catalyst 9800 Series stýringarnar veita alhliða öryggi sem veitir djúpa pakkaskoðun til að þekkja og stjórna forritum, fullkomið sýnilegt gagnaflæði og auðkenningu á ógnum sem eru falin í dulkóðuðu umferð, svo og háþróaða auðkenningar- og öryggiskerfi fyrir tæki viðskiptavinarins.

Fyrir sjálfvirkni og greiningu býður Cisco Catalyst 9800 Series upp á öfluga möguleika með því að nota vinsælar staðalgerðir: YANG, NETCONF, RESTCONF, hefðbundin API og innbyggð Python forskriftir.

Þannig staðfestir Cisco enn og aftur stöðu sína sem leiðandi framleiðandi netlausna í heiminum, fylgir tímanum og tekur mið af öllum áskorunum nútímaviðskipta.

Fyrir frekari upplýsingar um Catalyst switch fjölskylduna, heimsækja Online cisco.

Heimild: www.habr.com

Árið 2019 framkvæmdi ráðgjafafyrirtækið Miercom sjálfstætt tæknimat á Wi-Fi 6 stýringar af Cisco Catalyst 9800 seríunni. Fyrir þessa rannsókn var settur saman prófunarbekkur úr Cisco Wi-Fi 6 stýringum og aðgangsstöðum og tæknilausnin var metið í eftirfarandi flokkum:

• Framboð;
• Öryggi;
• Sjálfvirkni.

Niðurstöður rannsóknarinnar eru sýndar hér að neðan. Síðan 2019 hefur virkni Cisco Catalyst 9800 röð stýringa verið bætt verulega - þessi atriði endurspeglast einnig í þessari grein.

Þú getur lesið um aðra kosti Wi-Fi 6 tækni, dæmi um útfærslu og notkunarsvið hér.

Yfirlit lausna

Wi-Fi 6 stýringar Cisco Catalyst 9800 röð

Cisco Catalyst 9800 Series Wireless Controllers, byggðir á IOS-XE stýrikerfinu (einnig notaðir fyrir Cisco rofa og beinar), eru fáanlegir í ýmsum valkostum.

Eldri gerð 9800-80 stjórnandans styður afköst þráðlausra neta allt að 80 Gbps. Einn 9800-80 stjórnandi styður allt að 6000 aðgangsstaði og allt að 64 þráðlausa viðskiptavini.

Meðalgerðin, 9800-40 stjórnandi, styður allt að 40 Gbps afköst, allt að 2000 aðgangsstaði og allt að 32 þráðlausa viðskiptavini.

Til viðbótar við þessar gerðir innihélt samkeppnisgreiningin einnig 9800-CL þráðlausa stjórnandann (CL stendur fyrir Cloud). 9800-CL keyrir í sýndarumhverfi á VMWare ESXI og KVM hypervisorum og afköst hans eru háð sérstökum vélbúnaðarauðlindum fyrir sýndarvél stjórnandans. Í hámarksstillingu sinni styður Cisco 9800-CL stjórnandi, eins og eldri gerð 9800-80, sveigjanleika allt að 6000 aðgangsstaði og allt að 64 þráðlausa viðskiptavini.

Þegar unnið var að rannsóknum með stýringum voru Cisco Aironet AP 4800 röð aðgangsstaðir notaðir, sem studdu rekstur á tíðnum 2,4 og 5 GHz með getu til að skipta yfir í tvöfaldan 5-GHz stillingu.

Prófstandur

Sem hluti af prófuninni var standur settur saman úr tveimur Cisco Catalyst 9800-CL þráðlausum stjórnendum sem starfa í þyrpingu og Cisco Aironet AP 4800 röð aðgangsstaði.

Fartölvur frá Dell og Apple, auk Apple iPhone snjallsíma, voru notaðar sem biðlaratæki.

Aðgengisprófun

Aðgengi er skilgreint sem geta notenda til að fá aðgang að og nota kerfi eða þjónustu. Mikið framboð felur í sér stöðugan aðgang að kerfi eða þjónustu, óháð ákveðnum atburðum.

Mikið framboð var prófað í fjórum sviðsmyndum, fyrstu þrjár sviðsmyndirnar voru fyrirsjáanlegar eða áætlaðar atburðir sem gætu átt sér stað á eða eftir vinnutíma. Fimmta atburðarásin er klassísk bilun, sem er óútreiknanlegur atburður.

Lýsing á atburðarás:

• Villuleiðrétting – öruppfærsla á kerfinu (villuleiðrétting eða öryggisplástur), sem gerir þér kleift að laga tiltekna villu eða varnarleysi án fullkominnar uppfærslu á kerfishugbúnaðinum;
• Hagnýtur uppfærsla - bæta við eða stækka núverandi virkni kerfisins með því að setja upp hagnýtar uppfærslur;
• Full uppfærsla - uppfærðu hugbúnaðarmynd stjórnandans;
• Aðgangsstað bætt við – að bæta nýrri gerð aðgangsstaða við þráðlaust net án þess að þurfa að endurstilla eða uppfæra hugbúnaðinn fyrir þráðlausa stjórnandi;
• Bilun—bilun í þráðlausa stjórnandanum.

Að laga villur og veikleika

Oft, með mörgum samkeppnislausnum, krefst patching fullkominnar hugbúnaðaruppfærslu á þráðlausa stjórnunarkerfinu, sem getur leitt til ófyrirséðrar niður í miðbæ. Þegar um er að ræða Cisco lausnina er plástra framkvæmd án þess að stöðva vöruna. Hægt er að setja plástra á hvaða íhluti sem er á meðan þráðlausa innviðin heldur áfram að starfa.

Aðferðin sjálf er frekar einföld. Plásturskráin er afrituð í bootstrap möppuna á einum af þráðlausu Cisco stýristækjunum og aðgerðin er síðan staðfest með GUI eða skipanalínunni. Að auki geturðu einnig afturkallað og fjarlægt lagfæringuna í gegnum GUI eða skipanalínuna, einnig án þess að trufla kerfisrekstur.

Virk uppfærsla

Hagnýtar hugbúnaðaruppfærslur eru notaðar til að virkja nýja eiginleika. Ein af þessum endurbótum er að uppfæra undirskriftargagnagrunn forritsins. Þessi pakki var settur upp á Cisco stýringar sem próf. Rétt eins og með plástra, eru eiginleikauppfærslur beittar, settar upp eða fjarlægðar án nokkurrar niður í miðbæ eða truflana í kerfinu.

Full uppfærsla

Í augnablikinu er full uppfærsla á hugbúnaðarmynd stjórnandans framkvæmd á sama hátt og hagnýt uppfærsla, það er án niður í miðbæ. Hins vegar er þessi eiginleiki aðeins fáanlegur í klasauppsetningu þegar það eru fleiri en einn stjórnandi. Heil uppfærsla er framkvæmd í röð: fyrst á einum stjórnanda, síðan á þeim seinni.

Bætir við nýju aðgangsstaðalíkani

Það er nokkuð algeng aðgerð að tengja nýja aðgangsstaði, sem ekki hafa áður verið starfræktir með hugbúnaðarmynd stjórnandans sem notuð er, við þráðlaust net, sérstaklega í stórum netum (flugvöllum, hótelum, verksmiðjum). Oft í samkeppnislausnum þarf þessi aðgerð að uppfæra kerfishugbúnaðinn eða endurræsa stýringarnar.

Þegar nýir Wi-Fi 6 aðgangsstaðir eru tengdir við þyrping Cisco Catalyst 9800 seríustýringa koma engin slík vandamál fram. Tenging nýrra punkta við stjórnandann fer fram án þess að uppfæra stýribúnaðarhugbúnaðinn og þetta ferli krefst ekki endurræsingar og hefur því ekki áhrif á þráðlausa netið á nokkurn hátt.

Bilun í stjórnanda

Prófunarumhverfið notar tvo Wi-Fi 6 stýringar (Active/StandBy) og aðgangsstaðurinn er með beina tengingu við báða stýringarnar.

Einn þráðlausa stjórnandi er virkur og hinn er öryggisafrit. Ef virki stjórnandi bilar tekur varastjórnandi við og staða hans breytist í virk. Þessi aðferð á sér stað án truflana fyrir aðgangsstaðinn og Wi-Fi fyrir viðskiptavini.

öryggi

Í þessum hluta er fjallað um öryggisþætti, sem er afar brýnt mál í þráðlausum netum. Öryggi lausnarinnar er metið út frá eftirfarandi eiginleikum:

• Umsókn viðurkenning;
• Flæðismæling;
• Greining á dulkóðuðu umferð;
• Uppgötvun og forvarnir gegn innbrotum;
• Auðkenning þýðir;
• Verndunartæki viðskiptavinartækja.

Umsókn viðurkenning

Meðal margvíslegra vara á Wi-Fi fyrirtækja- og iðnaðarmarkaði er munur á því hversu vel vörurnar bera kennsl á umferð eftir notkun. Vörur frá mismunandi framleiðendum geta auðkennt mismunandi fjölda forrita. Hins vegar eru mörg af þeim forritum sem samkeppnislausnir telja upp sem mögulegar til auðkenningar eru í raun vefsíður en ekki einstök forrit.

Það er annar áhugaverður eiginleiki við viðurkenningu forrita: lausnir eru mjög mismunandi hvað varðar auðkenningarnákvæmni.

Að teknu tilliti til allra prófana sem gerðar voru, getum við fullyrt á ábyrgan hátt að Wi-Fi-6 lausn Cisco framkvæmir auðkenningu forrita mjög nákvæmlega: Jabber, Netflix, Dropbox, YouTube og önnur vinsæl forrit, sem og vefþjónusta, voru nákvæmlega auðkennd. Cisco lausnir geta einnig kafað dýpra í gagnapakka með því að nota DPI (Deep Packet Inspection).

Umferðarflæði mælingar

Önnur próf var gerð til að sjá hvort kerfið gæti fylgst nákvæmlega með og tilkynnt gagnaflæði (eins og stórar skráarhreyfingar). Til að prófa þetta var 6,5 megabæta skrá send yfir netið með File Transfer Protocol (FTP).

Cisco lausnin var fullkomlega í stakk búin og gat fylgst með þessari umferð þökk sé NetFlow og vélbúnaðargetu þess. Umferð greindist og greindist strax með nákvæmu magni gagna sem flutt var.

Dulkóðuð umferðargreining

Gagnaumferð notenda er í auknum mæli dulkóðuð. Þetta er gert til að verja það gegn því að árásarmenn elti hann eða stöðvi hann. En á sama tíma nota tölvuþrjótar dulkóðun í auknum mæli til að fela spilliforrit og framkvæma aðrar vafasamar aðgerðir eins og Man-in-the-Middle (MiTM) eða lyklaskráningarárásir.

Flest fyrirtæki skoða hluta af dulkóðuðu umferð sinni með því að afkóða hana fyrst með því að nota eldveggi eða innbrotsvarnakerfi. En þetta ferli tekur mikinn tíma og gagnast ekki afköstum netsins í heild sinni. Að auki, þegar þau hafa verið afkóðuð, verða þessi gögn viðkvæm fyrir hnýsnum augum.

Cisco Catalyst 9800 Series stýringar leysa vel vandamálið við að greina dulkóðaða umferð með öðrum hætti. Lausnin heitir Encrypted Traffic Analytics (ETA). ETA er tækni sem nú á sér engar hliðstæður í samkeppnislausnum og greinir spilliforrit í dulkóðuðu umferð án þess að þurfa að afkóða það. ETA er kjarnaeiginleiki IOS-XE sem felur í sér Enhanced NetFlow og notar háþróaða hegðunaralgrím til að bera kennsl á skaðlegt umferðarmynstur sem leynast í dulkóðuðu umferð.

ETA afkóðar ekki skilaboð heldur safnar lýsigagnasniðum um dulkóðuð umferðarflæði - pakkastærð, tímabil á milli pakka og margt fleira. Lýsigögnin eru síðan flutt út í NetFlow v9 færslum til Cisco Stealthwatch.

Lykilhlutverk Stealthwatch er að fylgjast stöðugt með umferð, auk þess að búa til grunnlínu fyrir eðlilega netvirkni. Með því að nota dulkóðuð lýsigögn straums sem send eru til þess af ETA, notar Stealthwatch marglaga vélanám til að bera kennsl á frávik í hegðunarumferð sem geta bent til grunsamlegra atburða.

Á síðasta ári fékk Cisco Miercom til að meta Cisco Encrypted Traffic Analytics lausn sína sjálfstætt. Við þetta mat sendi Miercom sérstaklega þekktar og óþekktar ógnir (vírusar, tróverji, lausnarhugbúnaður) í dulkóðuðu og ódulkóðuðu umferðarkerfi yfir stór ETA og ekki ETA net til að bera kennsl á ógnir.

Til að prófa var illgjarn kóða settur af stað á báðum netum. Í báðum tilfellum kom smám saman í ljós grunsamleg virkni. ETA netið greindi upphaflega ógnir 36% hraðar en ekki ETA netið. Á sama tíma, þegar leið á vinnuna, fór framleiðni greiningar í ETA netinu að aukast. Fyrir vikið, eftir nokkurra klukkustunda vinnu, greindust tveir þriðju virkra ógna í ETA netinu, sem er tvöfalt meira en í kerfinu sem ekki er ETA.

ETA virkni er vel samþætt Stealthwatch. Ógnunum er raðað eftir alvarleika og þær birtar með nákvæmum upplýsingum, sem og úrbótamöguleikum þegar þær hafa verið staðfestar. Niðurstaða - ETA virkar!

Innbrotsgreining og forvarnir

Cisco hefur nú annað áhrifaríkt öryggistæki - Cisco Advanced Wireless Intrusion Prevention System (aWIPS): kerfi til að greina og koma í veg fyrir ógnir við þráðlaus netkerfi. aWIPS lausnin starfar á vettvangi stjórnenda, aðgangsstaða og Cisco DNA Center stjórnunarhugbúnaðar. Ógnagreining, viðvörun og forvarnir sameina netumferðargreiningu, upplýsingar um nettæki og netkerfi, tækni sem byggir á undirskriftum og fráviksgreiningu til að skila mjög nákvæmum og fyrirbyggjandi þráðlausum ógnum.

Með því að samþætta aWIPS að fullu innviði netkerfisins geturðu fylgst stöðugt með þráðlausri umferð á bæði hlerunarbúnaði og þráðlausum netum og notað það til að greina sjálfkrafa hugsanlegar árásir frá mörgum aðilum til að veita sem víðtækustu uppgötvun og forvarnir sem mögulegt er.

Auðkenning þýðir

Í augnablikinu, auk klassískra auðkenningartækja, styðja Cisco Catalyst 9800 röð lausnir WPA3. WPA3 er nýjasta útgáfan af WPA, sem er sett af samskiptareglum og tækni sem veitir auðkenningu og dulkóðun fyrir Wi-Fi net.

WPA3 notar Simultaneous Authentication of Equals (SAE) til að veita notendum sterkustu vörn gegn tilraunum þriðja aðila til að giska á lykilorð. Þegar viðskiptavinur tengist aðgangsstað framkvæmir hann SAE skipti. Ef vel tekst til mun hver þeirra búa til dulmálslega sterkan lykil sem lotulykillinn verður fenginn úr og síðan fara þeir í staðfestingarstöðu. Biðlarinn og aðgangsstaðurinn geta síðan slegið inn handabandsstöðu í hvert skipti sem þarf að búa til lotulykil. Aðferðin notar áframhaldandi leynd, þar sem árásarmaður getur sprungið einn lykil, en ekki alla aðra lykla.

Það er að segja, SAE er hannað þannig að árásarmaður sem stöðvar umferð hefur aðeins eina tilraun til að giska á lykilorðið áður en hleruð gögn verða ónýt. Til að skipuleggja langa endurheimt lykilorðs þarftu líkamlegan aðgang að aðgangsstaðnum.

Vörn viðskiptavinartækja

Cisco Catalyst 9800 Series þráðlausar lausnir veita nú aðal verndareiginleika viðskiptavina í gegnum Cisco Umbrella WLAN, skýjabundin netöryggisþjónusta sem starfar á DNS stigi með sjálfvirkri greiningu á bæði þekktum og nýjum ógnum.

Cisco Umbrella WLAN veitir tækjum viðskiptavinar örugga tengingu við internetið. Þetta er náð með efnissíun, það er að segja með því að loka fyrir aðgang að auðlindum á internetinu í samræmi við stefnu fyrirtækisins. Þannig eru biðlaratæki á netinu vernduð gegn spilliforritum, lausnarhugbúnaði og vefveiðum. Framfylgni stefnu byggir á 60 efnisflokkum sem eru stöðugt uppfærðir.

Sjálfvirkni

Þráðlaus netkerfi nútímans eru mun sveigjanlegri og flóknari og því duga hefðbundnar aðferðir við að stilla og sækja upplýsingar úr þráðlausum stjórnendum ekki. Netkerfisstjórar og sérfræðingar í upplýsingaöryggi krefjast verkfæra fyrir sjálfvirkni og greiningar, sem hvetur þráðlausa söluaðila til að bjóða slík verkfæri.

Til að leysa þessi vandamál veita Cisco Catalyst 9800 röð þráðlausa stýringar, ásamt hefðbundnum API, stuðning við RESTCONF / NETCONF netstillingarsamskiptareglur með YANG (Yet Another Next Generation) gagnalíkanamálinu.

NETCONF er XML-undirstaða siðareglur sem forrit geta notað til að spyrjast fyrir um upplýsingar og breyta uppsetningu nettækja eins og þráðlausra stýringa.

Auk þessara aðferða veita Cisco Catalyst 9800 Series stýringarnar möguleika á að fanga, sækja og greina upplýsingaflæðisgögn með NetFlow og sFlow samskiptareglum.

Fyrir öryggis- og umferðarlíkön er hæfileikinn til að fylgjast með sérstökum flæði dýrmætt tæki. Til að leysa þetta vandamál var sFlow samskiptareglan útfærð, sem gerir þér kleift að fanga tvo pakka af hverjum hundrað. Hins vegar, stundum gæti þetta ekki verið nóg til að greina og rannsaka og meta flæðið á fullnægjandi hátt. Þess vegna er valkostur NetFlow, útfært af Cisco, sem gerir þér kleift að 100% safna og flytja út alla pakka í tilteknu flæði til síðari greiningar.

Annar eiginleiki sem er þó aðeins fáanlegur í vélbúnaðarútfærslu stýrinanna, sem gerir þér kleift að gera sjálfvirkan rekstur þráðlausa netsins í Cisco Catalyst 9800 röð stýrisbúnaðinum, er innbyggður stuðningur fyrir Python tungumálið sem viðbót til að nota forskriftir beint á þráðlausa stjórnandann sjálfan.

Að lokum styðja Cisco Catalyst 9800 Series stýringar sannaða SNMP útgáfu 1, 2 og 3 samskiptareglur fyrir eftirlit og stjórnunaraðgerðir.

Þannig, hvað varðar sjálfvirkni, uppfylla Cisco Catalyst 9800 Series lausnir að fullu nútíma viðskiptakröfur, bjóða upp á bæði ný og einstök, sem og tímaprófuð verkfæri fyrir sjálfvirkar aðgerðir og greiningar í þráðlausum netum af hvaða stærð og flókið sem er.

Ályktun

Í lausnum byggðar á Cisco Catalyst 9800 Series Controllers, sýndi Cisco framúrskarandi árangur í flokkum hás framboðs, öryggis og sjálfvirkni.

Lausnin uppfyllir að fullu allar háar kröfur um aðgengi, svo sem bilun á undir-sekúndu við óskipulagða atburði og núll niður í miðbæ fyrir áætlaða atburði.

Cisco Catalyst 9800 Series stýringarnar veita alhliða öryggi sem veitir djúpa pakkaskoðun til að þekkja og stjórna forritum, fullkomið sýnilegt gagnaflæði og auðkenningu á ógnum sem eru falin í dulkóðuðu umferð, svo og háþróaða auðkenningar- og öryggiskerfi fyrir tæki viðskiptavinarins.

Fyrir sjálfvirkni og greiningu býður Cisco Catalyst 9800 Series upp á öfluga möguleika með því að nota vinsælar staðalgerðir: YANG, NETCONF, RESTCONF, hefðbundin API og innbyggð Python forskriftir.

Þannig staðfestir Cisco enn og aftur stöðu sína sem leiðandi framleiðandi netlausna í heiminum, fylgir tímanum og tekur mið af öllum áskorunum nútímaviðskipta.

Fyrir frekari upplýsingar um Catalyst switch fjölskylduna, heimsækja Online cisco.

Heimild: www.habr.com