Ing taun 2019, Miercom, perusahaan konsultasi, nganakake penilaian teknologi independen saka pengontrol Wi-Fi 6 Cisco Catalyst 9800 Series. Kanggo panliten iki, amben tes dirakit saka pengontrol lan titik akses Cisco Wi-Fi 6, lan solusi teknis ditaksir ing kategori ing ngisor iki:
- kasedhiyan;
- Keamanan;
- Otomasi.
Asiling panaliten kaandharaken ing ngandhap menika. Wiwit taun 2019, fungsionalitas pengontrol Cisco Catalyst 9800 Series wis saya apik banget - poin kasebut uga katon ing artikel iki.
Sampeyan bisa maca babagan kaluwihan liyane teknologi Wi-Fi 6, conto implementasine lan area aplikasi.
Ringkesan solusi
Cisco Catalyst 6 Series Wi-Fi 9800 pengontrol
Cisco Catalyst 9800 Series Wireless Controllers, adhedhasar sistem operasi IOS-XE (uga digunakake kanggo ngalih Cisco lan router), kasedhiya ing macem-macem roso.
Kontroler 9800-80 paling dhuwur ndhukung throughput jaringan nirkabel nganti 80 Gbps. Siji pengontrol 9800-80 ndhukung nganti 6000 titik akses lan nganti 64 klien nirkabel.
Model mid-range, pengontrol 9800-40, ndhukung nganti 40 Gbps throughput, nganti 2000 titik akses, lan nganti 32 klien nirkabel.
Saliyane model kasebut, analisis kompetitif uga kalebu pengontrol nirkabel 9800-CL (CL tegese Cloud). Model 9800-CL makaryakke ing lingkungan virtual ing VMWare ESXI lan KVM hypervisors, lan karakteristik gumantung ing sumber daya hardware darmabakti kanggo mesin virtual controller. Ing konfigurasi maksimum, Cisco 9800-CL controller, kaya model 9800-80 lawas, ndhukung kaukur ing munggah 6000 titik akses lan munggah 64 klien nirkabel.
Nalika nindakake sinau karo pengontrol, Cisco Aironet AP 4800 seri akses TCTerms digunakake, ndhukung operasi ing 2,4 lan 5 frekuensi GHz karo kemampuan kanggo mbosenke ngalih menyang mode dual 5-GHz.
bangku test
Minangka bagéan saka testing, ngadeg iki nglumpuk saka loro Cisco Catalyst 9800-CL pengontrol nirkabel operasi ing kluster lan Cisco Aironet AP 4800 titik akses seri.
Laptop Dell lan Apple, uga smartphone Apple, digunakake minangka piranti klien. iPhone.
Tes aksesibilitas
Kasedhiyan ditetepake minangka kemampuan pangguna kanggo ngakses lan nggunakake sistem utawa layanan. Kasedhiyan dhuwur nuduhake akses terus menyang sistem utawa layanan, preduli saka acara apa wae.
Kasedhiyan dhuwur diuji ing patang skenario, telung skenario pisanan minangka acara sing bisa diprediksi utawa direncanakake sing bisa kedadeyan sajrone jam kerja utawa sawise jam kerja. Skenario kaping lima yaiku kegagalan klasik, yaiku kedadeyan sing ora bisa ditebak.
Deskripsi skenario:
- Ndandani bug minangka nganyari mikro sistem (bugfix utawa patch keamanan), sing ngidini sampeyan ndandani kesalahan utawa kerentanan tartamtu tanpa nganyari piranti lunak sistem;
- Nganyari fungsional - nambah utawa ngembangake fungsi sistem saiki kanthi nginstal nganyari fungsional;
- Nganyari lengkap - nganyari gambar piranti lunak pengontrol;
- Nambah Titik Akses – nambahake model jalur akses anyar menyang jaringan nirkabel tanpa kudu ngatur maneh utawa nganyari piranti lunak pengontrol nirkabel;
- Kesalahan - kegagalan pengontrol nirkabel.
Ndandani bug lan kerentanan
Asring, ing pirang-pirang solusi kompetitif, patching mbutuhake nganyari piranti lunak lengkap saka sistem kontrol nirkabel, sing bisa nyebabake downtime sing ora direncanakake. Ing kasus solusi Cisco, patching ditindakake tanpa ngganggu produksi. Patch bisa diinstal ing komponen apa wae nalika infrastruktur nirkabel terus digunakake.
Prosedur dhewe cukup prasaja. File patch disalin menyang folder boot ing salah siji saka pengontrol nirkabel Cisco, lan banjur operasi dikonfirmasi liwat GUI utawa baris printah. Kajaba iku, liwat GUI utawa baris printah, sampeyan uga bisa mbatalake lan mbusak tembelan, uga tanpa interrupting sistem.
Nganyari fungsional
Nganyari fitur yaiku nganyari piranti lunak sing ngaktifake fungsi anyar. Salah sawijining paningkatan kasebut yaiku nganyari basis data tandha aplikasi. Paket iki diinstal ing pengontrol Cisco minangka test. Kaya patch, nganyari fitur diterapake, diinstal, utawa dibusak tanpa downtime utawa gangguan ing sistem.
Nganyari lengkap
Saiki, nganyari lengkap gambar piranti lunak pengontrol ditindakake kanthi cara sing padha karo nganyari fungsional, yaiku tanpa downtime. Nanging, fitur iki mung kasedhiya ing konfigurasi cluster, nalika ana luwih saka siji controller. Nganyari lengkap ditindakake kanthi urutan: pisanan ing siji controller, banjur ing liyane.
Nambah model titik akses anyar
Nyambungake titik akses anyar sing sadurunge durung digunakake karo gambar piranti lunak controller digunakake kanggo jaringan nirkabel iku operasi cukup umum, utamané ing jaringan gedhe (bandara, hotel, manufaktur). Cukup asring, ing solusi pesaing, operasi iki mbutuhake nganyari piranti lunak sistem utawa rebooting pengontrol.
Ora ana masalah sing diamati nalika nyambungake Wi-Fi anyar 6 titik akses menyang kluster Cisco Catalyst 9800 pengontrol seri. Nyambungake titik anyar menyang controller rampung tanpa nganyari piranti lunak controller, lan proses iki ora mbutuhake urip maneh, saéngga ora mengaruhi jaringan nirkabel ing sembarang cara.
Gagal kontrol
Lingkungan tes nggunakake rong pengontrol Wi-Fi 6 (Aktif / Siyaga) lan jalur akses duwe sambungan langsung menyang loro pengontrol kasebut.
Siji pengontrol nirkabel aktif lan liyane minangka pengontrol serep. Yen pengontrol aktif gagal, pengontrol serep njupuk alih lan statuse diganti dadi aktif. Prosedur iki ditindakake tanpa gangguan kanggo titik akses lan Wi-Fi kanggo klien.
Keamanan
Bagean iki nliti aspek keamanan, sing minangka tugas sing penting banget ing jaringan nirkabel. Keamanan solusi ditaksir kanthi karakteristik ing ngisor iki:
- Pangenalan aplikasi;
- nelusuri aliran;
- Analisis lalu lintas sing dienkripsi;
- Deteksi lan Nyegah Intrusi;
- Authentication tegese;
- Sarana kanggo nglindhungi piranti klien.
Pangenalan aplikasi
Ing antarane macem-macem produk ing pasar Wi-Fi perusahaan lan industri, ana bedane babagan carane produk ngenali lalu lintas kanthi aplikasi. Produk vendor sing beda bisa ngenali nomer aplikasi sing beda. Lan akeh aplikasi sing dhaptar solusi kompetitif sing bisa diidentifikasi, nyatane, situs web tinimbang aplikasi unik.
Ana fitur liyane sing menarik kanggo pangenalan aplikasi: solusi beda-beda ing akurasi identifikasi.
Nganggep kabeh tes sing ditindakake, kita bisa kanthi tanggung jawab nyatakake yen solusi Cisco Wi-Fi 6 nindakake pangenalan aplikasi kanthi akurat: Jabber, Netflix, Dropbox, YouTube lan aplikasi populer liyane, uga layanan web, diidentifikasi kanthi akurat. Solusi Cisco uga bisa nyilem luwih jero menyang paket data nggunakake DPI (Deep Packet Inspection).
Nelusuri arus lalu lintas
Tes liyane ditindakake kanggo ndeleng manawa sistem bisa nglacak lan nglaporake aliran data kanthi akurat (kayata gerakan file gedhe). Kanggo nguji iki, file 6,5 megabyte dikirim liwat jaringan nggunakake File Transfer Protocol (FTP).
Solusi Cisco wis rampung kanggo tugas lan bisa nglacak lalu lintas iki thanks kanggo NetFlow lan kemampuan hardware. Lalu lintas kasebut langsung dideteksi lan diidentifikasi kanthi jumlah data sing ditransfer.
Analisis lalu lintas sing dienkripsi
Lalu lintas data pangguna tambah akeh dienkripsi. Iki ditindakake kanggo nglindhungi saka dilacak utawa dicegat dening panyerang. Nanging ing wektu sing padha, peretas tambah akeh nggunakake enkripsi kanggo ndhelikake malware lan nindakake operasi liyane sing meragukan, kayata Man-in-the-Middle (MiTM) utawa, contone, serangan keylogging.
Umume bisnis mriksa sawetara lalu lintas sing dienkripsi kanthi dekripsi dhisik nggunakake firewall utawa sistem pencegahan intrusi. Nanging proses iki akeh wektu lan ora entuk manfaat saka kinerja jaringan sakabèhé. Kajaba iku, yen wis didekripsi, data dadi rentan kanggo prying eyes.
Cisco Catalyst 9800 Series Controllers sukses ngatasi masalah analisis lalu lintas ndhelik kanthi cara liya. Solusi kasebut diarani Encrypted Traffic Analytics (ETA). ETA minangka teknologi sing ora ana analog ing solusi kompetitif saiki lan ndeteksi malware ing lalu lintas sing dienkripsi tanpa perlu dekripsi. ETA minangka fungsi IOS-XE dhasar sing kalebu Enhanced NetFlow lan nggunakake algoritma tindak tanduk majeng kanggo ngenali pola lalu lintas angkoro sing didhelikake ing lalu lintas sing dienkripsi.
ETA ora dekripsi pesen, nanging ngumpulake profil metadata aliran lalu lintas sing dienkripsi - ukuran paket, kesenjangan wektu antarane paket, lan liya-liyane. Metadata kasebut banjur diekspor ing cathetan NetFlow v9 menyang Cisco Stealthwatch.
Fungsi inti Stealthwatch yaiku terus-terusan ngawasi lalu lintas lan nggawe garis dasar kegiatan jaringan normal. Nggunakake metadata lalu lintas sing dienkripsi sing dikirim dening ETA, Stealthwatch ngetrapake pembelajaran mesin multi-lapisan kanggo ngenali anomali lalu lintas prilaku sing bisa nuduhake kedadeyan sing curiga.
Taun kepungkur, Cisco melu Miercom kanggo ngevaluasi kanthi mandiri solusi Analisis Lalu Lintas Enkripsi Cisco. Sajrone evaluasi iki, Miercom ngirim kanthi kapisah ancaman sing dikenal lan ora dingerteni (virus, trojan, ransomware) ing lalu lintas sing dienkripsi lan ora dienkripsi ing jaringan ETA lan non-ETA gedhe kanggo ngenali ancaman.
Kanggo testing, kode angkoro diluncurake ing loro jaringan kasebut. Ing kasus loro, kegiatan curiga mboko sithik dideteksi. Ing jaringan ETA, ancaman pisanan dideteksi 36% luwih cepet tinimbang ing jaringan non-ETA. Ing wektu sing padha, nalika karya maju, produktivitas deteksi ing jaringan ETA wiwit nambah. Akibaté, sawise sawetara jam kerja, rong pertiga ancaman aktif kasil dideteksi ing jaringan ETA, sing kaping pindho luwih akeh tinimbang ing jaringan non-ETA.
Fungsionalitas ETA terintegrasi kanthi apik karo Stealthwatch. Ancaman diwenehi peringkat miturut tingkat keruwetan, ditampilake kanthi informasi rinci, lan kanthi pilihan kanggo remediasi sawise konfirmasi. Kesimpulan - ETA kerja!
Deteksi lan Nyegah Intrusi
Cisco saiki duwe alat keamanan liyane sing efektif - Cisco Advanced Wireless Intrusion Prevention System (aWIPS): mekanisme kanggo ndeteksi lan nyegah ancaman kanggo jaringan nirkabel. Solusi aWIPS beroperasi ing tingkat pengontrol, titik akses, lan piranti lunak manajemen Cisco DNA Center. Proses ndeteksi, menehi tandha, lan nyegah ancaman nggabungake analisis lalu lintas jaringan, informasi babagan piranti jaringan lan topologi jaringan, metode basis tandha, lan deteksi anomali, sing pungkasane njamin akurasi lan pencegahan ancaman jaringan nirkabel sing dhuwur.
Integrasi lengkap aWIPS menyang infrastruktur jaringan ngidini sampeyan terus-terusan ngawasi lalu lintas nirkabel ing jaringan kabel lan nirkabel lan nggunakake aplikasi kasebut kanggo nganalisa serangan potensial saka akeh sumber kanthi otomatis kanggo ngenali lan nyegah serangan potensial kanthi cara sing paling lengkap.
Alat otentikasi
Saiki, saliyane alat bukti asli klasik, solusi Cisco Catalyst 9800 Series uga ndhukung WPA3. WPA3 minangka versi paling anyar saka WPA, yaiku sakumpulan protokol lan teknologi sing nyedhiyakake otentikasi lan enkripsi kanggo jaringan Wi-Fi.
WPA3 nggunakake Simultaneous Authentication of Equals (SAE) kanggo menehi proteksi paling kuat kanggo pangguna saka nyoba ngira tembung sandhi pihak katelu. Nalika klien nyambung menyang titik akses, nindakake pertukaran SAE. Yen sukses, saben-saben ngasilake kunci sing kuat kanthi kriptografis kanggo entuk kunci sesi, banjur mlebu negara salaman. Klien lan titik akses banjur bisa mlebu negara jabat tangan saben-saben kudu ngasilake kunci sesi. Cara kasebut nggunakake rahasia maju, ing ngendi panyerang bisa ngrusak siji tombol nanging ora kabeh tombol liyane.
Tegese, SAE dirancang kanthi cara supaya panyerang nyegat lalu lintas mung duwe siji upaya kanggo ngira sandhi sadurunge data sing dicegat dadi ora ana gunane. Kanggo ngatur tebak tembung sandi sing dawa, akses fisik menyang titik akses dibutuhake.
Piranti Keamanan Piranti Klien
Fitur pangayoman pelanggan utami ing Cisco Catalyst 9800 Series Wireless Solutions saiki Cisco Umbrella WLAN, layanan keamanan jaringan basis maya sing makaryakke ing lapisan DNS karo deteksi otomatis loro ancaman dikenal lan berkembang.
Cisco Umbrella WLAN nyedhiyakake piranti klien kanthi sambungan aman menyang Internet. Iki digayuh kanthi nyaring konten, yaiku kanthi mblokir akses menyang sumber daya ing Internet sesuai karo kabijakan perusahaan. Kanthi cara iki, piranti klien ing Internet dilindhungi saka malware, ransomware, phishing. Aplikasi kabijakan adhedhasar 60 kategori konten sing terus dianyari.
Otomasi
Jaringan nirkabel saiki luwih fleksibel lan rumit, mula cara tradisional kanggo ngatur lan ngekstrak informasi saka pengontrol nirkabel ora cukup. Administrator jaringan lan spesialis keamanan informasi mbutuhake alat otomatisasi lan analitik, sing menehi motivasi marang vendor solusi jaringan nirkabel kanggo nawakake alat kasebut.
Kanggo ngatasi tantangan kasebut, pengontrol nirkabel Cisco Catalyst 9800 Series, saliyane API tradisional, nyedhiyakake dhukungan kanggo protokol konfigurasi jaringan RESTCONF / NETCONF kanthi basa modeling data YANG (Yet Another Next Generation).
NETCONF minangka protokol basis XML sing bisa digunakake aplikasi kanggo njaluk informasi lan ngganti konfigurasi piranti jaringan kayata pengontrol nirkabel.
Saliyane cara iki, Cisco Catalyst 9800 Series Controllers ngleksanakake kemampuan kanggo nampa, sampel, lan njelasno aliran data nggunakake NetFlow lan sFlow protokol.
Kanggo model keamanan lan lalu lintas, kemampuan kanggo ngawasi aliran tartamtu minangka alat sing terkenal. Kanggo ngatasi masalah iki, protokol sFlow dileksanakake, sing ngidini njupuk rong paket saka saben atus. Nanging, kadhangkala iki bisa uga ora cukup kanggo nganalisa lan nyinaoni lan ngevaluasi aliran kasebut. Mulane, alternatif NetFlow, dipun ginakaken dening Cisco, sing ngidini 100% koleksi lan ekspor kabeh paket ing aliran tartamtu kanggo analisis sakteruse.
Fitur liyane, sanajan mung kasedhiya ing implementasine hardware saka pengontrol, sing ngidini sampeyan ngotomatisasi operasi jaringan nirkabel ing pengontrol seri Cisco Catalyst 9800, yaiku dhukungan sing dibangun kanggo basa Python minangka tambahan kanggo nggunakake skrip langsung ing pengontrol nirkabel dhewe.
Akhire, Cisco Catalyst 9800 Series Controllers ndhukung versi SNMP buktiaken 1, 2, lan 3 kanggo ngawasi lan operasi Manajemen.
Mangkono, ing babagan otomatisasi, solusi Cisco Catalyst 9800 Series nyukupi syarat bisnis modern, nawakake anyar lan unik, uga alat sing diuji wektu kanggo operasi otomatis lan analytics ing jaringan nirkabel kanthi ukuran lan kerumitan apa wae.
kesimpulan
Cisco nuduhake asil banget ing kategori ing ngisor iki kanggo solusi adhedhasar Cisco Catalyst 9800 Series Controllers: kasedhiyan dhuwur, keamanan, lan otomatis.
Solusi kasebut nyukupi kabeh syarat kasedhiyan dhuwur kayata failover sub-detik sajrone acara sing ora direncanakake lan nol downtime kanggo acara sing direncanakake.
Cisco Catalyst 9800 Series Controllers ngirim keamanan lengkap sing kalebu inspeksi paket jero kanggo ngenali lan aplikasi kontrol, visibilitas lengkap menyang aliran data, lan identifikasi ancaman sing didhelikake ing lalu lintas ndhelik, uga otentikasi majeng lan mekanisme pangayoman piranti klien.
Kanggo otomatisasi operasi lan analytics, solusi Cisco Catalyst 9800 Series nyedhiyakake kapabilitas kanthi nggunakake model standar populer: YANG, NETCONF, RESTCONF, API tradisional, lan skrip Python sing dipasang.
Mangkono, Cisco sepisan maneh nandheske status minangka Produsèn global anjog saka solusi jaringan, tetep munggah karo kaping lan njupuk menyang akun kabeh tantangan bisnis modern.
Kanggo informasi luwih lengkap babagan kulawarga Catalyst saka ngalih, riko Cisco.
Source: www.habr.com
