Yen sampeyan duwe controller, ora masalah: carane gampang njaga jaringan nirkabel

Ing 2019, perusahaan konsultasi Miercom nganakake penilaian teknologi independen saka pengontrol Wi-Fi 6 saka seri Cisco Catalyst 9800. Kanggo panliten iki, bangku tes dirakit saka pengontrol lan titik akses Cisco Wi-Fi 6, lan solusi teknis yaiku ditaksir ing kategori ing ngisor iki:

• kasedhiyan;
• Keamanan;
• Otomasi.

Asiling panaliten kapacak ing ngandhap menika. Wiwit taun 2019, fungsionalitas pengontrol seri Cisco Catalyst 9800 wis saya apik banget - poin kasebut uga katon ing artikel iki.

Sampeyan bisa maca babagan kaluwihan liyane saka teknologi Wi-Fi 6, conto implementasine lan area aplikasi kene.

Ringkesan solusi

Wi-Fi 6 pengontrol Cisco Catalyst 9800 seri

Cisco Catalyst 9800 Series Wireless Controllers, adhedhasar sistem operasi IOS-XE (uga digunakake kanggo Cisco ngalih lan router), kasedhiya ing macem-macem opsi.

Model lawas saka controller 9800-80 ndhukung throughput jaringan nirkabel nganti 80 Gbps. Siji pengontrol 9800-80 ndhukung nganti 6000 titik akses lan nganti 64 klien nirkabel.

Model mid-range, pengontrol 9800-40, ndhukung nganti 40 Gbps throughput, nganti 2000 titik akses lan nganti 32 klien nirkabel.

Saliyane model kasebut, analisis kompetitif uga kalebu pengontrol nirkabel 9800-CL (CL tegese Cloud). 9800-CL mlaku ing lingkungan virtual ing VMWare ESXI lan KVM hypervisors, lan kinerja gumantung ing sumber daya hardware darmabakti kanggo mesin virtual controller. Ing konfigurasi maksimum, Cisco 9800-CL controller, kaya model lawas 9800-80, ndhukung skalabilitas nganti 6000 titik akses lan nganti 64 klien nirkabel.

Nalika nindakake riset karo pengontrol, Cisco Aironet AP 4800 seri titik akses digunakake, ndhukung operasi ing frekuensi saka 2,4 lan 5 GHz karo kemampuan kanggo mbosenke ngalih menyang mode dual 5-GHz.

bangku test

Minangka bagéan saka testing, ngadeg iki nglumpuk saka loro Cisco Catalyst 9800-CL pengontrol nirkabel operasi ing kluster lan Cisco Aironet AP 4800 titik akses seri.

Laptop saka Dell lan Apple, uga smartphone Apple iPhone, digunakake minangka piranti klien.

Tes Aksesibilitas

Kasedhiyan ditetepake minangka kemampuan pangguna kanggo ngakses lan nggunakake sistem utawa layanan. Kasedhiyan dhuwur nuduhake akses terus menyang sistem utawa layanan, ora gumantung saka acara tartamtu.

Kasedhiyan dhuwur diuji ing patang skenario, telung skenario pisanan minangka acara sing bisa diprediksi utawa dijadwal sing bisa kedadeyan sajrone utawa sawise jam kerja. Skenario kaping lima yaiku kegagalan klasik, yaiku kedadeyan sing ora bisa ditebak.

Deskripsi skenario:

• Koreksi kesalahan - nganyari mikro sistem (bugfix utawa patch keamanan), sing ngidini sampeyan ndandani kesalahan utawa kerentanan tartamtu tanpa nganyari piranti lunak sistem;
• Nganyari fungsional - nambah utawa ngembangake fungsi sistem saiki kanthi nginstal nganyari fungsional;
• Nganyari lengkap - nganyari gambar piranti lunak pengontrol;
• Nambah titik akses - nambah model jalur akses anyar menyang jaringan nirkabel tanpa perlu ngatur maneh utawa nganyari piranti lunak pengontrol nirkabel;
• Gagal—gagal pengontrol nirkabel.

Ndandani bug lan kerentanan

Asring, kanthi akeh solusi sing kompetitif, patching mbutuhake nganyari piranti lunak lengkap saka sistem kontrol nirkabel, sing bisa nyebabake downtime sing ora direncanakake. Ing kasus saka solusi Cisco, patching dileksanakake tanpa mandeg produk. Patch bisa diinstal ing komponen apa wae nalika infrastruktur nirkabel terus beroperasi.

Prosedur dhewe cukup prasaja. File patch disalin menyang folder bootstrap ing salah siji saka pengontrol nirkabel Cisco, lan operasi banjur dikonfirmasi liwat GUI utawa baris printah. Kajaba iku, sampeyan uga bisa mbatalake lan mbusak fix liwat GUI utawa baris printah, uga tanpa interrupting operasi sistem.

Nganyari fungsional

Nganyari piranti lunak fungsional ditrapake kanggo ngaktifake fitur-fitur anyar. Salah sawijining dandan kasebut yaiku nganyari database teken aplikasi. Paket iki diinstal ing pengontrol Cisco minangka test. Kaya patch, nganyari fitur diterapake, diinstal, utawa dibusak tanpa downtime utawa gangguan sistem.

Nganyari lengkap

Saiki, nganyari lengkap gambar piranti lunak pengontrol ditindakake kanthi cara sing padha karo nganyari fungsional, yaiku, tanpa downtime. Nanging, fitur iki mung kasedhiya ing konfigurasi cluster nalika ana luwih saka siji controller. Nganyari lengkap ditindakake kanthi urutan: pisanan ing siji controller, banjur ing liyane.

Nambah model titik akses anyar

Nyambungake titik akses anyar, sing sadurunge durung dioperasikake nganggo gambar piranti lunak pengontrol sing digunakake, menyang jaringan nirkabel minangka operasi sing cukup umum, utamane ing jaringan gedhe (bandara, hotel, pabrik). Cukup asring ing solusi pesaing, operasi iki mbutuhake nganyari piranti lunak sistem utawa rebooting pengontrol.

Nalika nyambungake Wi-Fi anyar 6 akses TCTerms menyang klompok Cisco Catalyst 9800 pengontrol seri, ora masalah kuwi diamati. Nyambungake titik anyar menyang controller ditindakake tanpa nganyari piranti lunak pengontrol, lan proses iki ora mbutuhake urip maneh, saéngga ora mengaruhi jaringan nirkabel kanthi cara apa wae.

Gagal kontrol

Lingkungan tes nggunakake rong pengontrol Wi-Fi 6 (Aktif/StandBy) lan jalur akses duwe sambungan langsung menyang pengontrol loro kasebut.

Siji controller nirkabel aktif, lan liyane, mungguh, serep. Yen pengontrol aktif gagal, pengontrol serep njupuk alih lan statuse diganti dadi aktif. Prosedur iki ditindakake tanpa gangguan kanggo titik akses lan Wi-Fi kanggo klien.

Keamanan

Bagean iki mbahas aspek keamanan, sing dadi masalah banget ing jaringan nirkabel. Keamanan solusi ditaksir adhedhasar karakteristik ing ngisor iki:

• Pangenalan aplikasi;
• nelusuri aliran;
• Analisis lalu lintas sing dienkripsi;
• Deteksi lan nyegah intrusi;
• Authentication tegese;
• Piranti pangayoman piranti klien.

Pangenalan aplikasi

Ing antarane macem-macem produk ing pasar Wi-Fi perusahaan lan industri, ana bedane babagan produk kasebut ngenali lalu lintas kanthi aplikasi. Produk saka manufaktur beda bisa ngenali nomer aplikasi beda. Nanging, akeh aplikasi sing didaftarake solusi kompetitif kanggo identifikasi, nyatane, situs web, lan dudu aplikasi unik.

Ana fitur liyane sing menarik kanggo pangenalan aplikasi: solusi beda-beda ing akurasi identifikasi.

Nganggep kabeh tes sing ditindakake, kita bisa kanthi tanggung jawab nyatakake yen solusi Wi-Fi-6 Cisco nindakake pangenalan aplikasi kanthi akurat: Jabber, Netflix, Dropbox, YouTube lan aplikasi populer liyane, uga layanan web, diidentifikasi kanthi akurat. Solusi Cisco uga bisa nyilem luwih jero menyang paket data nggunakake DPI (Deep Packet Inspection).

Pelacakan arus lalu lintas

Tes liyane ditindakake kanggo ndeleng manawa sistem bisa nglacak lan nglaporake aliran data kanthi akurat (kayata gerakan file gedhe). Kanggo nguji iki, file 6,5 megabyte dikirim liwat jaringan nggunakake File Transfer Protocol (FTP).

Solusi Cisco wis rampung kanggo tugas lan bisa nglacak lalu lintas iki thanks kanggo NetFlow lan kabisan hardware. Lalu lintas dideteksi lan langsung diidentifikasi kanthi jumlah data sing ditransfer.

Analisis lalu lintas sing dienkripsi

Lalu lintas data pangguna tambah akeh dienkripsi. Iki ditindakake kanggo nglindhungi saka dilacak utawa dicegat dening panyerang. Nanging ing wektu sing padha, peretas tambah akeh nggunakake enkripsi kanggo ndhelikake malware lan nindakake operasi liyane sing meragukan kayata Man-in-the-Middle (MiTM) utawa serangan keylogging.

Umume bisnis mriksa sawetara lalu lintas sing dienkripsi kanthi dekripsi dhisik nggunakake firewall utawa sistem pencegahan intrusi. Nanging proses iki mbutuhake wektu akeh lan ora nguntungake kinerja jaringan kanthi sakabehe. Kajaba iku, yen wis didekripsi, data iki dadi rentan kanggo prying eyes.

Cisco Catalyst 9800 pengontrol Series kasil ngatasi masalah nganalisa lalu lintas ndhelik kanthi cara liya. Solusi kasebut diarani Encrypted Traffic Analytics (ETA). ETA minangka teknologi sing saiki ora ana analog ing solusi kompetitif lan ndeteksi malware ing lalu lintas sing dienkripsi tanpa perlu dekripsi. ETA minangka fitur inti saka IOS-XE sing kalebu Enhanced NetFlow lan nggunakake algoritma prilaku sing luwih maju kanggo ngenali pola lalu lintas angkoro sing ndhelik ing lalu lintas sing dienkripsi.

ETA ora dekripsi pesen, nanging ngumpulake profil metadata aliran lalu lintas sing dienkripsi - ukuran paket, interval wektu antarane paket, lan liya-liyane. Metadata kasebut banjur diekspor ing cathetan NetFlow v9 menyang Cisco Stealthwatch.

Fungsi utama Stealthwatch yaiku ngawasi lalu lintas kanthi terus-terusan, uga nggawe garis dasar kegiatan jaringan normal. Nggunakake metadata stream sing dienkripsi sing dikirim dening ETA, Stealthwatch ngetrapake pembelajaran mesin multi-lapisan kanggo ngenali anomali lalu lintas prilaku sing bisa nuduhake kedadeyan sing curiga.

Taun kepungkur, Cisco melu Miercom kanggo ngevaluasi kanthi mandiri solusi Cisco Lalu Lintas Analitik. Sajrone penilaian iki, Miercom ngirim ancaman sing dikenal lan ora dingerteni (virus, Trojan, ransomware) kanthi kapisah ing lalu lintas sing dienkripsi lan ora dienkripsi ing jaringan ETA lan non-ETA gedhe kanggo ngenali ancaman.

Kanggo nguji, kode angkoro diluncurake ing loro jaringan kasebut. Ing kasus loro, kegiatan curiga mboko sithik ditemokake. Jaringan ETA wiwitane ndeteksi ancaman 36% luwih cepet tinimbang jaringan non-ETA. Ing wektu sing padha, nalika karya maju, produktivitas deteksi ing jaringan ETA wiwit nambah. Akibaté, sawise sawetara jam kerja, rong pertiga ancaman aktif kasil dideteksi ing jaringan ETA, sing kaping pindho luwih akeh tinimbang ing jaringan non-ETA.

Fungsionalitas ETA terintegrasi kanthi apik karo Stealthwatch. Ancaman ditingkat kanthi tingkat keruwetan lan ditampilake kanthi informasi rinci, uga opsi remediasi yen dikonfirmasi. Kesimpulan - ETA kerja!

Deteksi lan pencegahan intrusi

Cisco saiki duwe alat keamanan liyane sing efektif - Cisco Advanced Wireless Intrusion Prevention System (aWIPS): mekanisme kanggo ndeteksi lan nyegah ancaman kanggo jaringan nirkabel. Solusi aWIPS beroperasi ing tingkat pengontrol, titik akses lan piranti lunak manajemen Cisco DNA Center. Deteksi, tandha, lan pencegahan ancaman nggabungake analisis lalu lintas jaringan, piranti jaringan lan informasi topologi jaringan, teknik basis tandha, lan deteksi anomali kanggo ngirim ancaman nirkabel sing akurat lan bisa dicegah.

Kanthi nggabungake aWIPS menyang infrastruktur jaringan, sampeyan bisa terus-terusan ngawasi lalu lintas nirkabel ing jaringan kabel lan nirkabel lan nggunakake aplikasi kasebut kanggo nganalisa serangan potensial saka macem-macem sumber kanthi otomatis kanggo nyedhiyakake deteksi lan pencegahan sing paling lengkap.

Otentikasi tegese

Saiki, saliyane alat otentikasi klasik, solusi seri Cisco Catalyst 9800 ndhukung WPA3. WPA3 minangka versi paling anyar saka WPA, yaiku sakumpulan protokol lan teknologi sing nyedhiyakake otentikasi lan enkripsi kanggo jaringan Wi-Fi.

WPA3 nggunakake Simultaneous Authentication of Equals (SAE) kanggo menehi proteksi paling kuat kanggo pangguna saka nyoba ngira tembung sandhi dening pihak katelu. Nalika klien nyambung menyang titik akses, nindakake pertukaran SAE. Yen sukses, saben wong bakal nggawe kunci kriptografi sing kuwat saka ngendi kunci sesi bakal diturunake, banjur bakal mlebu negara konfirmasi. Klien lan titik akses banjur bisa ngetik status jabat tangan saben wektu kunci sesi kudu digawe. Cara kasebut nggunakake rahasia maju, ing ngendi panyerang bisa ngrusak siji tombol, nanging ora kabeh tombol liyane.

Tegese, SAE dirancang kanthi cara supaya panyerang nyegat lalu lintas mung duwe siji upaya kanggo ngira sandhi sadurunge data sing dicegat dadi ora ana gunane. Kanggo ngatur pemulihan sandi sing dawa, sampeyan butuh akses fisik menyang titik akses.

Proteksi piranti klien

Cisco Catalyst 9800 Series solusi nirkabel saiki menehi fitur pangayoman pelanggan utami liwat Cisco Umbrella WLAN, layanan keamanan jaringan basis maya sing makaryakke ing tingkat DNS karo deteksi otomatis loro ancaman dikenal lan berkembang.

Cisco Umbrella WLAN nyedhiyakake piranti klien kanthi sambungan aman menyang Internet. Iki digayuh liwat nyaring isi, yaiku, kanthi ngalangi akses menyang sumber daya ing Internet sesuai karo kabijakan perusahaan. Dadi, piranti klien ing Internet dilindhungi saka malware, ransomware, lan phishing. Penegakan kabijakan adhedhasar 60 kategori konten sing terus dianyari.

Otomasi

Jaringan nirkabel saiki luwih fleksibel lan rumit, mula cara tradisional kanggo ngatur lan njupuk informasi saka pengontrol nirkabel ora cukup. Administrator jaringan lan profesional keamanan informasi mbutuhake alat kanggo otomatisasi lan analytics, sing nyebabake vendor nirkabel nawakake alat kasebut.

Kanggo ngatasi masalah kasebut, pengontrol nirkabel seri Cisco Catalyst 9800, bebarengan karo API tradisional, nyedhiyakake dhukungan kanggo protokol konfigurasi jaringan RESTCONF / NETCONF kanthi basa modeling data YANG (Yet Another Next Generation).

NETCONF minangka protokol basis XML sing bisa digunakake aplikasi kanggo njaluk informasi lan ngganti konfigurasi piranti jaringan kayata pengontrol nirkabel.

Saliyane cara kasebut, Cisco Catalyst 9800 Series Controllers nyedhiyakake kemampuan kanggo njupuk, njupuk, lan nganalisa data aliran informasi nggunakake protokol NetFlow lan sFlow.

Kanggo model keamanan lan lalu lintas, kemampuan kanggo nglacak aliran tartamtu minangka alat sing terkenal. Kanggo ngatasi masalah iki, protokol sFlow dileksanakake, sing ngidini sampeyan njupuk rong paket saka saben atus. Nanging, kadhangkala iki bisa uga ora cukup kanggo nganalisa lan nyinaoni lan ngevaluasi aliran kasebut. Mulane, alternatif NetFlow, dipun ginakaken dening Cisco, sing ngijini sampeyan kanggo 100% ngumpulake lan ngekspor kabeh paket ing aliran tartamtu kanggo analisis sakteruse.

Nanging, fitur liyane mung kasedhiya ing implementasi hardware saka pengontrol, sing ngidini sampeyan ngotomatisasi operasi jaringan nirkabel ing pengontrol seri Cisco Catalyst 9800, dibangun ing dhukungan kanggo basa Python minangka tambahan kanggo nggunakake. script langsung ing controller nirkabel dhewe.

Akhire, Cisco Catalyst 9800 Series Controllers ndhukung versi SNMP buktiaken 1, 2, lan 3 protokol kanggo ngawasi lan operasi Manajemen.

Mangkono, ing babagan otomatisasi, solusi Cisco Catalyst 9800 Series nyukupi syarat bisnis modern, nawakake anyar lan unik, uga alat sing diuji wektu kanggo operasi otomatis lan analytics ing jaringan nirkabel kanthi ukuran lan kerumitan apa wae.

kesimpulan

Ing solusi adhedhasar Cisco Catalyst 9800 Series Controllers, nuduhake Cisco asil banget ing kategori kasedhiyan dhuwur, keamanan lan automation.

Solusi kasebut nyukupi kabeh syarat kasedhiyan dhuwur kayata failover sub-detik sajrone acara sing ora direncanakake lan nol downtime kanggo acara sing dijadwalake.

Cisco Catalyst 9800 Series Controllers nyedhiyani keamanan lengkap sing nyedhiyani inspeksi paket jero kanggo pangenalan lan kontrol aplikasi, visibilitas lengkap menyang aliran data, lan identifikasi saka ancaman sing didhelikake ing lalu lintas ndhelik, uga otentikasi majeng lan mekanisme keamanan kanggo piranti klien.

Kanggo otomatisasi lan analytics, Cisco Catalyst 9800 Series nawakake kemampuan sing kuat nggunakake model standar populer: YANG, NETCONF, RESTCONF, API tradisional, lan skrip Python sing dibangun.

Mangkono, Cisco sepisan maneh nandheske status minangka Produsèn anjog saka solusi jaringan ing donya, tetep munggah karo wektu lan njupuk menyang akun kabeh tantangan bisnis modern.

Kanggo informasi luwih lengkap babagan kulawarga ngalih Catalyst, riko situs cisco.

Source: www.habr.com

Ing 2019, perusahaan konsultasi Miercom nganakake penilaian teknologi independen saka pengontrol Wi-Fi 6 saka seri Cisco Catalyst 9800. Kanggo panliten iki, bangku tes dirakit saka pengontrol lan titik akses Cisco Wi-Fi 6, lan solusi teknis yaiku ditaksir ing kategori ing ngisor iki:

• kasedhiyan;
• Keamanan;
• Otomasi.

Asiling panaliten kapacak ing ngandhap menika. Wiwit taun 2019, fungsionalitas pengontrol seri Cisco Catalyst 9800 wis saya apik banget - poin kasebut uga katon ing artikel iki.

Sampeyan bisa maca babagan kaluwihan liyane saka teknologi Wi-Fi 6, conto implementasine lan area aplikasi kene.

Ringkesan solusi

Wi-Fi 6 pengontrol Cisco Catalyst 9800 seri

Cisco Catalyst 9800 Series Wireless Controllers, adhedhasar sistem operasi IOS-XE (uga digunakake kanggo Cisco ngalih lan router), kasedhiya ing macem-macem opsi.

Model lawas saka controller 9800-80 ndhukung throughput jaringan nirkabel nganti 80 Gbps. Siji pengontrol 9800-80 ndhukung nganti 6000 titik akses lan nganti 64 klien nirkabel.

Model mid-range, pengontrol 9800-40, ndhukung nganti 40 Gbps throughput, nganti 2000 titik akses lan nganti 32 klien nirkabel.

Saliyane model kasebut, analisis kompetitif uga kalebu pengontrol nirkabel 9800-CL (CL tegese Cloud). 9800-CL mlaku ing lingkungan virtual ing VMWare ESXI lan KVM hypervisors, lan kinerja gumantung ing sumber daya hardware darmabakti kanggo mesin virtual controller. Ing konfigurasi maksimum, Cisco 9800-CL controller, kaya model lawas 9800-80, ndhukung skalabilitas nganti 6000 titik akses lan nganti 64 klien nirkabel.

Nalika nindakake riset karo pengontrol, Cisco Aironet AP 4800 seri titik akses digunakake, ndhukung operasi ing frekuensi saka 2,4 lan 5 GHz karo kemampuan kanggo mbosenke ngalih menyang mode dual 5-GHz.

bangku test

Minangka bagéan saka testing, ngadeg iki nglumpuk saka loro Cisco Catalyst 9800-CL pengontrol nirkabel operasi ing kluster lan Cisco Aironet AP 4800 titik akses seri.

Laptop saka Dell lan Apple, uga smartphone Apple iPhone, digunakake minangka piranti klien.

Tes Aksesibilitas

Kasedhiyan ditetepake minangka kemampuan pangguna kanggo ngakses lan nggunakake sistem utawa layanan. Kasedhiyan dhuwur nuduhake akses terus menyang sistem utawa layanan, ora gumantung saka acara tartamtu.

Kasedhiyan dhuwur diuji ing patang skenario, telung skenario pisanan minangka acara sing bisa diprediksi utawa dijadwal sing bisa kedadeyan sajrone utawa sawise jam kerja. Skenario kaping lima yaiku kegagalan klasik, yaiku kedadeyan sing ora bisa ditebak.

Deskripsi skenario:

• Koreksi kesalahan - nganyari mikro sistem (bugfix utawa patch keamanan), sing ngidini sampeyan ndandani kesalahan utawa kerentanan tartamtu tanpa nganyari piranti lunak sistem;
• Nganyari fungsional - nambah utawa ngembangake fungsi sistem saiki kanthi nginstal nganyari fungsional;
• Nganyari lengkap - nganyari gambar piranti lunak pengontrol;
• Nambah titik akses - nambah model jalur akses anyar menyang jaringan nirkabel tanpa perlu ngatur maneh utawa nganyari piranti lunak pengontrol nirkabel;
• Gagal—gagal pengontrol nirkabel.

Ndandani bug lan kerentanan

Asring, kanthi akeh solusi sing kompetitif, patching mbutuhake nganyari piranti lunak lengkap saka sistem kontrol nirkabel, sing bisa nyebabake downtime sing ora direncanakake. Ing kasus saka solusi Cisco, patching dileksanakake tanpa mandeg produk. Patch bisa diinstal ing komponen apa wae nalika infrastruktur nirkabel terus beroperasi.

Prosedur dhewe cukup prasaja. File patch disalin menyang folder bootstrap ing salah siji saka pengontrol nirkabel Cisco, lan operasi banjur dikonfirmasi liwat GUI utawa baris printah. Kajaba iku, sampeyan uga bisa mbatalake lan mbusak fix liwat GUI utawa baris printah, uga tanpa interrupting operasi sistem.

Nganyari fungsional

Nganyari piranti lunak fungsional ditrapake kanggo ngaktifake fitur-fitur anyar. Salah sawijining dandan kasebut yaiku nganyari database teken aplikasi. Paket iki diinstal ing pengontrol Cisco minangka test. Kaya patch, nganyari fitur diterapake, diinstal, utawa dibusak tanpa downtime utawa gangguan sistem.

Nganyari lengkap

Saiki, nganyari lengkap gambar piranti lunak pengontrol ditindakake kanthi cara sing padha karo nganyari fungsional, yaiku, tanpa downtime. Nanging, fitur iki mung kasedhiya ing konfigurasi cluster nalika ana luwih saka siji controller. Nganyari lengkap ditindakake kanthi urutan: pisanan ing siji controller, banjur ing liyane.

Nambah model titik akses anyar

Nyambungake titik akses anyar, sing sadurunge durung dioperasikake nganggo gambar piranti lunak pengontrol sing digunakake, menyang jaringan nirkabel minangka operasi sing cukup umum, utamane ing jaringan gedhe (bandara, hotel, pabrik). Cukup asring ing solusi pesaing, operasi iki mbutuhake nganyari piranti lunak sistem utawa rebooting pengontrol.

Nalika nyambungake Wi-Fi anyar 6 akses TCTerms menyang klompok Cisco Catalyst 9800 pengontrol seri, ora masalah kuwi diamati. Nyambungake titik anyar menyang controller ditindakake tanpa nganyari piranti lunak pengontrol, lan proses iki ora mbutuhake urip maneh, saéngga ora mengaruhi jaringan nirkabel kanthi cara apa wae.

Gagal kontrol

Lingkungan tes nggunakake rong pengontrol Wi-Fi 6 (Aktif/StandBy) lan jalur akses duwe sambungan langsung menyang pengontrol loro kasebut.

Siji controller nirkabel aktif, lan liyane, mungguh, serep. Yen pengontrol aktif gagal, pengontrol serep njupuk alih lan statuse diganti dadi aktif. Prosedur iki ditindakake tanpa gangguan kanggo titik akses lan Wi-Fi kanggo klien.

Keamanan

Bagean iki mbahas aspek keamanan, sing dadi masalah banget ing jaringan nirkabel. Keamanan solusi ditaksir adhedhasar karakteristik ing ngisor iki:

• Pangenalan aplikasi;
• nelusuri aliran;
• Analisis lalu lintas sing dienkripsi;
• Deteksi lan nyegah intrusi;
• Authentication tegese;
• Piranti pangayoman piranti klien.

Pangenalan aplikasi

Ing antarane macem-macem produk ing pasar Wi-Fi perusahaan lan industri, ana bedane babagan produk kasebut ngenali lalu lintas kanthi aplikasi. Produk saka manufaktur beda bisa ngenali nomer aplikasi beda. Nanging, akeh aplikasi sing didaftarake solusi kompetitif kanggo identifikasi, nyatane, situs web, lan dudu aplikasi unik.

Ana fitur liyane sing menarik kanggo pangenalan aplikasi: solusi beda-beda ing akurasi identifikasi.

Nganggep kabeh tes sing ditindakake, kita bisa kanthi tanggung jawab nyatakake yen solusi Wi-Fi-6 Cisco nindakake pangenalan aplikasi kanthi akurat: Jabber, Netflix, Dropbox, YouTube lan aplikasi populer liyane, uga layanan web, diidentifikasi kanthi akurat. Solusi Cisco uga bisa nyilem luwih jero menyang paket data nggunakake DPI (Deep Packet Inspection).

Pelacakan arus lalu lintas

Tes liyane ditindakake kanggo ndeleng manawa sistem bisa nglacak lan nglaporake aliran data kanthi akurat (kayata gerakan file gedhe). Kanggo nguji iki, file 6,5 megabyte dikirim liwat jaringan nggunakake File Transfer Protocol (FTP).

Solusi Cisco wis rampung kanggo tugas lan bisa nglacak lalu lintas iki thanks kanggo NetFlow lan kabisan hardware. Lalu lintas dideteksi lan langsung diidentifikasi kanthi jumlah data sing ditransfer.

Analisis lalu lintas sing dienkripsi

Lalu lintas data pangguna tambah akeh dienkripsi. Iki ditindakake kanggo nglindhungi saka dilacak utawa dicegat dening panyerang. Nanging ing wektu sing padha, peretas tambah akeh nggunakake enkripsi kanggo ndhelikake malware lan nindakake operasi liyane sing meragukan kayata Man-in-the-Middle (MiTM) utawa serangan keylogging.

Umume bisnis mriksa sawetara lalu lintas sing dienkripsi kanthi dekripsi dhisik nggunakake firewall utawa sistem pencegahan intrusi. Nanging proses iki mbutuhake wektu akeh lan ora nguntungake kinerja jaringan kanthi sakabehe. Kajaba iku, yen wis didekripsi, data iki dadi rentan kanggo prying eyes.

Cisco Catalyst 9800 pengontrol Series kasil ngatasi masalah nganalisa lalu lintas ndhelik kanthi cara liya. Solusi kasebut diarani Encrypted Traffic Analytics (ETA). ETA minangka teknologi sing saiki ora ana analog ing solusi kompetitif lan ndeteksi malware ing lalu lintas sing dienkripsi tanpa perlu dekripsi. ETA minangka fitur inti saka IOS-XE sing kalebu Enhanced NetFlow lan nggunakake algoritma prilaku sing luwih maju kanggo ngenali pola lalu lintas angkoro sing ndhelik ing lalu lintas sing dienkripsi.

ETA ora dekripsi pesen, nanging ngumpulake profil metadata aliran lalu lintas sing dienkripsi - ukuran paket, interval wektu antarane paket, lan liya-liyane. Metadata kasebut banjur diekspor ing cathetan NetFlow v9 menyang Cisco Stealthwatch.

Fungsi utama Stealthwatch yaiku ngawasi lalu lintas kanthi terus-terusan, uga nggawe garis dasar kegiatan jaringan normal. Nggunakake metadata stream sing dienkripsi sing dikirim dening ETA, Stealthwatch ngetrapake pembelajaran mesin multi-lapisan kanggo ngenali anomali lalu lintas prilaku sing bisa nuduhake kedadeyan sing curiga.

Taun kepungkur, Cisco melu Miercom kanggo ngevaluasi kanthi mandiri solusi Cisco Lalu Lintas Analitik. Sajrone penilaian iki, Miercom ngirim ancaman sing dikenal lan ora dingerteni (virus, Trojan, ransomware) kanthi kapisah ing lalu lintas sing dienkripsi lan ora dienkripsi ing jaringan ETA lan non-ETA gedhe kanggo ngenali ancaman.

Kanggo nguji, kode angkoro diluncurake ing loro jaringan kasebut. Ing kasus loro, kegiatan curiga mboko sithik ditemokake. Jaringan ETA wiwitane ndeteksi ancaman 36% luwih cepet tinimbang jaringan non-ETA. Ing wektu sing padha, nalika karya maju, produktivitas deteksi ing jaringan ETA wiwit nambah. Akibaté, sawise sawetara jam kerja, rong pertiga ancaman aktif kasil dideteksi ing jaringan ETA, sing kaping pindho luwih akeh tinimbang ing jaringan non-ETA.

Fungsionalitas ETA terintegrasi kanthi apik karo Stealthwatch. Ancaman ditingkat kanthi tingkat keruwetan lan ditampilake kanthi informasi rinci, uga opsi remediasi yen dikonfirmasi. Kesimpulan - ETA kerja!

Deteksi lan pencegahan intrusi

Cisco saiki duwe alat keamanan liyane sing efektif - Cisco Advanced Wireless Intrusion Prevention System (aWIPS): mekanisme kanggo ndeteksi lan nyegah ancaman kanggo jaringan nirkabel. Solusi aWIPS beroperasi ing tingkat pengontrol, titik akses lan piranti lunak manajemen Cisco DNA Center. Deteksi, tandha, lan pencegahan ancaman nggabungake analisis lalu lintas jaringan, piranti jaringan lan informasi topologi jaringan, teknik basis tandha, lan deteksi anomali kanggo ngirim ancaman nirkabel sing akurat lan bisa dicegah.

Kanthi nggabungake aWIPS menyang infrastruktur jaringan, sampeyan bisa terus-terusan ngawasi lalu lintas nirkabel ing jaringan kabel lan nirkabel lan nggunakake aplikasi kasebut kanggo nganalisa serangan potensial saka macem-macem sumber kanthi otomatis kanggo nyedhiyakake deteksi lan pencegahan sing paling lengkap.

Otentikasi tegese

Saiki, saliyane alat otentikasi klasik, solusi seri Cisco Catalyst 9800 ndhukung WPA3. WPA3 minangka versi paling anyar saka WPA, yaiku sakumpulan protokol lan teknologi sing nyedhiyakake otentikasi lan enkripsi kanggo jaringan Wi-Fi.

WPA3 nggunakake Simultaneous Authentication of Equals (SAE) kanggo menehi proteksi paling kuat kanggo pangguna saka nyoba ngira tembung sandhi dening pihak katelu. Nalika klien nyambung menyang titik akses, nindakake pertukaran SAE. Yen sukses, saben wong bakal nggawe kunci kriptografi sing kuwat saka ngendi kunci sesi bakal diturunake, banjur bakal mlebu negara konfirmasi. Klien lan titik akses banjur bisa ngetik status jabat tangan saben wektu kunci sesi kudu digawe. Cara kasebut nggunakake rahasia maju, ing ngendi panyerang bisa ngrusak siji tombol, nanging ora kabeh tombol liyane.

Tegese, SAE dirancang kanthi cara supaya panyerang nyegat lalu lintas mung duwe siji upaya kanggo ngira sandhi sadurunge data sing dicegat dadi ora ana gunane. Kanggo ngatur pemulihan sandi sing dawa, sampeyan butuh akses fisik menyang titik akses.

Proteksi piranti klien

Cisco Catalyst 9800 Series solusi nirkabel saiki menehi fitur pangayoman pelanggan utami liwat Cisco Umbrella WLAN, layanan keamanan jaringan basis maya sing makaryakke ing tingkat DNS karo deteksi otomatis loro ancaman dikenal lan berkembang.

Cisco Umbrella WLAN nyedhiyakake piranti klien kanthi sambungan aman menyang Internet. Iki digayuh liwat nyaring isi, yaiku, kanthi ngalangi akses menyang sumber daya ing Internet sesuai karo kabijakan perusahaan. Dadi, piranti klien ing Internet dilindhungi saka malware, ransomware, lan phishing. Penegakan kabijakan adhedhasar 60 kategori konten sing terus dianyari.

Otomasi

Jaringan nirkabel saiki luwih fleksibel lan rumit, mula cara tradisional kanggo ngatur lan njupuk informasi saka pengontrol nirkabel ora cukup. Administrator jaringan lan profesional keamanan informasi mbutuhake alat kanggo otomatisasi lan analytics, sing nyebabake vendor nirkabel nawakake alat kasebut.

Kanggo ngatasi masalah kasebut, pengontrol nirkabel seri Cisco Catalyst 9800, bebarengan karo API tradisional, nyedhiyakake dhukungan kanggo protokol konfigurasi jaringan RESTCONF / NETCONF kanthi basa modeling data YANG (Yet Another Next Generation).

NETCONF minangka protokol basis XML sing bisa digunakake aplikasi kanggo njaluk informasi lan ngganti konfigurasi piranti jaringan kayata pengontrol nirkabel.

Saliyane cara kasebut, Cisco Catalyst 9800 Series Controllers nyedhiyakake kemampuan kanggo njupuk, njupuk, lan nganalisa data aliran informasi nggunakake protokol NetFlow lan sFlow.

Kanggo model keamanan lan lalu lintas, kemampuan kanggo nglacak aliran tartamtu minangka alat sing terkenal. Kanggo ngatasi masalah iki, protokol sFlow dileksanakake, sing ngidini sampeyan njupuk rong paket saka saben atus. Nanging, kadhangkala iki bisa uga ora cukup kanggo nganalisa lan nyinaoni lan ngevaluasi aliran kasebut. Mulane, alternatif NetFlow, dipun ginakaken dening Cisco, sing ngijini sampeyan kanggo 100% ngumpulake lan ngekspor kabeh paket ing aliran tartamtu kanggo analisis sakteruse.

Nanging, fitur liyane mung kasedhiya ing implementasi hardware saka pengontrol, sing ngidini sampeyan ngotomatisasi operasi jaringan nirkabel ing pengontrol seri Cisco Catalyst 9800, dibangun ing dhukungan kanggo basa Python minangka tambahan kanggo nggunakake. script langsung ing controller nirkabel dhewe.

Akhire, Cisco Catalyst 9800 Series Controllers ndhukung versi SNMP buktiaken 1, 2, lan 3 protokol kanggo ngawasi lan operasi Manajemen.

Mangkono, ing babagan otomatisasi, solusi Cisco Catalyst 9800 Series nyukupi syarat bisnis modern, nawakake anyar lan unik, uga alat sing diuji wektu kanggo operasi otomatis lan analytics ing jaringan nirkabel kanthi ukuran lan kerumitan apa wae.

kesimpulan

Ing solusi adhedhasar Cisco Catalyst 9800 Series Controllers, nuduhake Cisco asil banget ing kategori kasedhiyan dhuwur, keamanan lan automation.

Solusi kasebut nyukupi kabeh syarat kasedhiyan dhuwur kayata failover sub-detik sajrone acara sing ora direncanakake lan nol downtime kanggo acara sing dijadwalake.

Cisco Catalyst 9800 Series Controllers nyedhiyani keamanan lengkap sing nyedhiyani inspeksi paket jero kanggo pangenalan lan kontrol aplikasi, visibilitas lengkap menyang aliran data, lan identifikasi saka ancaman sing didhelikake ing lalu lintas ndhelik, uga otentikasi majeng lan mekanisme keamanan kanggo piranti klien.

Kanggo otomatisasi lan analytics, Cisco Catalyst 9800 Series nawakake kemampuan sing kuat nggunakake model standar populer: YANG, NETCONF, RESTCONF, API tradisional, lan skrip Python sing dibangun.

Mangkono, Cisco sepisan maneh nandheske status minangka Produsèn anjog saka solusi jaringan ing donya, tetep munggah karo wektu lan njupuk menyang akun kabeh tantangan bisnis modern.

Kanggo informasi luwih lengkap babagan kulawarga ngalih Catalyst, riko situs cisco.

Source: www.habr.com