2019 жылы Miercom консалтингтік компаниясы Cisco Catalyst 6 сериясының Wi-Fi 9800 контроллерлеріне тәуелсіз технологиялық бағалау жүргізді.Осы зерттеу үшін Cisco Wi-Fi 6 контроллерлері мен кіру нүктелерінен сынақ үстелі жиналды, ал техникалық шешім келесі категориялар бойынша бағаланады:
- Қол жетімділік;
- Қауіпсіздік;
- Автоматтандыру.
Зерттеу нәтижелері төменде көрсетілген. 2019 жылдан бастап Cisco Catalyst 9800 сериялы контроллердің функционалдығы айтарлықтай жақсарды - бұл тармақтар да осы мақалада көрсетілген.
Wi-Fi 6 технологиясының басқа да артықшылықтары, енгізу мысалдары және қолдану салалары туралы оқуға болады.
Шешімге шолу
Wi-Fi 6 контроллері Cisco Catalyst 9800 сериясы
IOS-XE операциялық жүйесіне негізделген Cisco Catalyst 9800 сериялы сымсыз контроллерлері (сонымен қатар Cisco қосқыштары мен маршрутизаторлары үшін пайдаланылады) әртүрлі опцияларда қол жетімді.
9800-80 контроллерінің ескі үлгісі 80 Гбит/с дейінгі сымсыз желі өткізу қабілетін қолдайды. Бір 9800-80 контроллері 6000 64 кіру нүктесіне және 000 XNUMX сымсыз клиенттерге дейін қолдайды.
Орташа диапазондағы 9800-40 контроллері 40 Гбит/с өткізу қабілеттілігін, 2000 кіру нүктесіне дейін және 32 000 сымсыз клиенттерді қолдайды.
Осы үлгілерден басқа, бәсекелестік талдауға 9800-CL сымсыз контроллері де кірді (CL бұлтты білдіреді). 9800-CL VMWare ESXI және KVM гипервизорларында виртуалды орталарда жұмыс істейді және оның өнімділігі контроллердің виртуалды машинасына арналған арнайы аппараттық ресурстарға байланысты. Өзінің максималды конфигурациясында Cisco 9800-CL контроллері, ескі 9800-80 үлгісі сияқты, 6000 кіру нүктесіне және 64 сымсыз клиентке дейін масштабтауға қолдау көрсетеді.
Контроллерлермен зерттеу жүргізу кезінде қос 4800 ГГц режиміне динамикалық түрде ауысу мүмкіндігімен 2,4 және 5 ГГц жиіліктерінде жұмыс істеуді қолдайтын Cisco Aironet AP 5 сериялы кіру нүктелері пайдаланылды.
сынақ стенді
Сынақ бөлігі ретінде кластерде жұмыс істейтін екі Cisco Catalyst 9800-CL сымсыз контроллерінен және Cisco Aironet AP 4800 сериялы кіру нүктелерінен стенд құрастырылды.
Клиенттік құрылғылар ретінде Dell және Apple фирмаларының ноутбуктері, сондай-ақ Apple iPhone смартфоны пайдаланылды.
Қол жетімділікті тексеру
Қолжетімділік пайдаланушылардың жүйеге немесе қызметке қол жеткізу және пайдалану мүмкіндігі ретінде анықталады. Жоғары қолжетімділік белгілі бір оқиғаларға тәуелсіз жүйеге немесе қызметке үздіксіз қол жеткізуді білдіреді.
Жоғары қолжетімділік төрт сценарийде тексерілді, алғашқы үш сценарий жұмыс уақытында немесе одан кейін орын алуы мүмкін болжамды немесе жоспарланған оқиғалар болды. Бесінші сценарий - классикалық сәтсіздік, бұл күтпеген оқиға.
Сценарийлердің сипаттамасы:
- Қатені түзету – жүйелік бағдарламалық құралды толық жаңартусыз белгілі бір қатені немесе осалдықты түзетуге мүмкіндік беретін жүйенің микрожаңаруы (қателерді түзету немесе қауіпсіздік патч);
- Функционалдық жаңарту – функционалды жаңартуларды орнату арқылы жүйенің ағымдағы функционалдығын қосу немесе кеңейту;
- Толық жаңарту – контроллердің бағдарламалық құралының кескінін жаңарту;
- Кіру нүктесін қосу – сымсыз контроллердің бағдарламалық құралын қайта конфигурациялау немесе жаңарту қажетсіз сымсыз желіге жаңа кіру нүктесі үлгісін қосу;
- Failure — сымсыз контроллердің істен шығуы.
Қателерді және осалдықтарды түзету
Көбінесе, көптеген бәсекеге қабілетті шешімдермен түзету сымсыз контроллер жүйесінің толық бағдарламалық құралын жаңартуды талап етеді, бұл жоспарланбаған тоқтап қалуға әкелуі мүмкін. Cisco шешімі жағдайында патчтау өнімді тоқтатпай орындалады. Сымсыз инфрақұрылым жұмысын жалғастырған кезде патчтарды кез келген құрамдас бөлікке орнатуға болады.
Процедураның өзі өте қарапайым. Патч файлы Cisco сымсыз контроллерлерінің біріндегі жүктеу қалтасына көшіріледі, содан кейін әрекет GUI немесе пәрмен жолы арқылы расталады. Бұған қоса, GUI немесе пәрмен жолы арқылы жүйе жұмысын тоқтатпай түзетуді болдырмауға және жоюға болады.
Функционалды жаңарту
Функционалдық бағдарламалық құрал жаңартулары жаңа мүмкіндіктерді қосу үшін қолданылады. Осы жақсартулардың бірі қолданба қолтаңбасының дерекқорын жаңарту болып табылады. Бұл пакет сынақ ретінде Cisco контроллерлеріне орнатылды. Патчтар сияқты, мүмкіндік жаңартулары ешқандай тоқтаусыз немесе жүйе үзіліссіз қолданылады, орнатылады немесе жойылады.
Толық жаңарту
Қазіргі уақытта контроллердің бағдарламалық құралының кескінін толық жаңарту функционалды жаңарту сияқты, яғни тоқтаусыз орындалады. Дегенмен, бұл мүмкіндік кластер конфигурациясында бірнеше контроллер болғанда ғана қолжетімді. Толық жаңарту дәйекті түрде орындалады: алдымен бір контроллерде, содан кейін екіншісінде.
Жаңа кіру нүктесі үлгісін қосу
Бұрын пайдаланылған контроллер бағдарламалық құралының кескінімен басқарылмаған жаңа кіру нүктелерін сымсыз желіге қосу, әсіресе үлкен желілерде (әуежайлар, қонақ үйлер, зауыттар) өте кең таралған операция болып табылады. Көбінесе бәсекелес шешімдерде бұл операция жүйелік бағдарламалық құралды жаңартуды немесе контроллерлерді қайта жүктеуді талап етеді.
Жаңа Wi-Fi 6 кіру нүктелерін Cisco Catalyst 9800 сериялы контроллерлер кластеріне қосқанда мұндай ақаулар байқалмайды. Контроллерге жаңа нүктелерді қосу контроллердің бағдарламалық құралын жаңартусыз жүзеге асырылады және бұл процесс қайта жүктеуді қажет етпейді, осылайша сымсыз желіге ешқандай әсер етпейді.
Контроллердің ақаулығы
Сынақ ортасы екі Wi-Fi 6 контроллерін (Active/StandBy) пайдаланады және кіру нүктесі екі контроллерге де тікелей қосылымға ие.
Бір сымсыз контроллер белсенді, ал екіншісі, тиісінше, сақтық көшірме болып табылады. Белсенді контроллер сәтсіз болса, сақтық көшірме контроллері орындалады және оның күйі белсенді болып өзгереді. Бұл процедура кіру нүктесі және клиенттер үшін Wi-Fi үшін үзіліссіз орындалады.
Қауіпсіздік
Бұл бөлімде сымсыз желілердегі өте өзекті мәселе болып табылатын қауіпсіздік аспектілері талқыланады. Шешімнің қауіпсіздігі келесі сипаттамалар негізінде бағаланады:
- Қолданбаны тану;
- Ағынды қадағалау;
- Шифрланған трафикті талдау;
- Интрузияны анықтау және алдын алу;
- Аутентификация құралдары;
- Клиент құрылғыларын қорғау құралдары.
Қолданбаны тану
Кәсіпорын мен өнеркәсіптік Wi-Fi нарығындағы өнімдердің әртүрлілігі арасында өнімдердің қолдану арқылы трафикті қаншалықты жақсы анықтауында айырмашылықтар бар. Әртүрлі өндірушілердің өнімдері қолданбалардың әртүрлі санын анықтауы мүмкін. Дегенмен, бәсекеге қабілетті шешімдер сәйкестендіру үшін мүмкіндігінше тізімдейтін қолданбалардың көпшілігі бірегей қолданбалар емес, шын мәнінде веб-сайттар болып табылады.
Қолданбаны танудың тағы бір қызықты ерекшелігі бар: шешімдер сәйкестендіру дәлдігінде айтарлықтай ерекшеленеді.
Барлық орындалған сынақтарды ескере отырып, біз Cisco Wi-Fi-6 шешімі қолданбаларды тануды өте дәл орындайтынын жауапкершілікпен айта аламыз: Jabber, Netflix, Dropbox, YouTube және басқа да танымал қолданбалар, сондай-ақ веб-қызметтері дәл анықталды. Cisco шешімдері сонымен қатар DPI (Deep Packet Inspection) көмегімен деректер пакеттеріне тереңірек ене алады.
Қозғалыс ағынын қадағалау
Жүйенің деректер ағындарын (мысалы, үлкен файлдар қозғалысы) дәл бақылай алатынын және есеп бере алатынын тексеру үшін тағы бір сынақ жүргізілді. Мұны тексеру үшін File Transfer Protocol (FTP) арқылы желі арқылы 6,5 мегабайт файл жіберілді.
Cisco шешімі бұл тапсырмаға толығымен жауап берді және NetFlow және оның аппараттық мүмкіндіктерінің арқасында бұл трафикті бақылай алды. Трафик анықталды және жіберілген деректердің нақты көлемімен дереу анықталды.
Шифрланған трафикті талдау
Пайдаланушы деректерінің трафигі барған сайын шифрлануда. Бұл оны шабуылдаушылар қадағалап немесе ұстап алудан қорғау үшін жасалады. Бірақ сонымен бірге, хакерлер өздерінің зиянды бағдарламаларын жасыру және Man-in-the-Middle (MiTM) немесе пернелерді тіркеу шабуылдары сияқты басқа да күмәнді операцияларды орындау үшін шифрлауды көбірек пайдаланады.
Көптеген компаниялар өздерінің шифрланған трафигінің кейбірін алдымен желіаралық қалқандар немесе шабуылдың алдын алу жүйелері арқылы шифрын ашу арқылы тексереді. Бірақ бұл процесс көп уақытты алады және тұтастай алғанда желінің өнімділігіне пайда әкелмейді. Сонымен қатар, шифры шешілгеннен кейін бұл деректер бейтаныс көздерге осал болады.
Cisco Catalyst 9800 сериясының контроллерлері шифрланған трафикті басқа әдістермен талдау мәселесін сәтті шешеді. Шешім шифрланған трафик аналитикасы (ETA) деп аталады. ETA – қазіргі уақытта бәсекеге қабілетті шешімдерде аналогтары жоқ және шифрланған трафикте зиянды бағдарламаны шифрды ашуды қажет етпей анықтайтын технология. ETA — IOS-XE жүйесінің негізгі мүмкіндігі, оның құрамына Enhanced NetFlow кіреді және шифрланған трафикте жасырылған зиянды трафик үлгілерін анықтау үшін кеңейтілген мінез-құлық алгоритмдерін пайдаланады.
ETA хабарламалардың шифрын ашпайды, бірақ шифрланған трафик ағындарының метадеректер профильдерін жинайды - пакет өлшемі, пакеттер арасындағы уақыт аралығы және т.б. Содан кейін метадеректер NetFlow v9 жазбаларында Cisco Stealthwatch қызметіне экспортталады.
Stealthwatch-тың негізгі функциясы трафикті үнемі бақылау, сондай-ақ қалыпты желі белсенділігінің негізін жасау болып табылады. ETA жіберген шифрланған ағындық метадеректерді пайдалана отырып, Stealthwatch күдікті оқиғаларды көрсетуі мүмкін мінез-құлық трафик аномалияларын анықтау үшін көп деңгейлі машиналық оқытуды қолданады.
Өткен жылы Cisco өзінің Cisco шифрланған трафик талдауы шешімін тәуелсіз бағалау үшін Miercom компаниясын тартты. Осы бағалау кезінде Miercom қауіптерді анықтау үшін үлкен ETA және ETA емес желілер арқылы шифрланған және шифрланбаған трафикте белгілі және белгісіз қауіптерді (вирустар, трояндар, төлемдік бағдарламалар) бөлек жіберді.
Тестілеу үшін екі желіде де зиянды код іске қосылды. Екі жағдайда да бірте-бірте күдікті әрекет анықталды. ETA желісі бастапқыда ETA емес желіге қарағанда қауіптерді 36% жылдам анықтады. Сонымен қатар, жұмыс алға жылжыған сайын, ETA желісіндегі анықтау өнімділігі арта бастады. Нәтижесінде бірнеше сағаттық жұмыстан кейін белсенді қауіптердің үштен екісі ETA желісінде сәтті анықталды, бұл ETA емес желіге қарағанда екі есе көп.
ETA функционалдығы Stealthwatch-пен жақсы біріктірілген. Қауіптер ауырлық дәрежесі бойынша сұрыпталады және толық ақпаратпен, сондай-ақ расталғаннан кейін түзету опцияларымен көрсетіледі. Қорытынды – ETA жұмыс істейді!
Интрузияны анықтау және алдын алу
Енді Cisco-ның тағы бір тиімді қауіпсіздік құралы бар - Cisco Advanced Wireless Intrusion Prevention System (aWIPS): сымсыз желілерге қауіптерді анықтау және алдын алу механизмі. aWIPS шешімі контроллерлер, кіру нүктелері және Cisco DNA Center басқару бағдарламалық құралы деңгейінде жұмыс істейді. Қатерді анықтау, ескерту және алдын алу жоғары дәлдік пен алдын алуға болатын сымсыз қауіптерді жеткізу үшін желілік трафикті талдауды, желі құрылғысы мен желі топологиясы туралы ақпаратты, қолтаңбаға негізделген әдістерді және аномалияны анықтауды біріктіреді.
aWIPS-ті желілік инфрақұрылымыңызға толығымен біріктіре отырып, сымды және сымсыз желілердегі сымсыз трафикті үздіксіз бақылай аласыз және оны барынша жан-жақты анықтау мен алдын алуды қамтамасыз ету үшін бірнеше көздерден ықтимал шабуылдарды автоматты түрде талдау үшін пайдалана аласыз.
Аутентификация дегенді білдіреді
Қазіргі уақытта классикалық аутентификация құралдарына қосымша, Cisco Catalyst 9800 сериялы шешімдері WPA3-ті қолдайды. WPA3 - Wi-Fi желілері үшін аутентификация мен шифрлауды қамтамасыз ететін протоколдар мен технологиялар жиынтығы болып табылатын WPA бағдарламасының соңғы нұсқасы.
WPA3 пайдаланушылар үшін үшінші тараптардың құпия сөзді анықтау әрекеттерінен ең күшті қорғанысты қамтамасыз ету үшін Теңдердің бір мезгілде аутентификациясын (SAE) пайдаланады. Клиент кіру нүктесіне қосылғанда, ол SAE алмасуын орындайды. Егер сәтті болса, олардың әрқайсысы сеанс кілті алынатын криптографиялық күшті кілт жасайды, содан кейін олар растау күйіне енеді. Содан кейін клиент пен кіру нүктесі сеанс кілтін жасау қажет болған сайын қол алысу күйлерін енгізе алады. Әдіс шабуылдаушы барлық басқа кілттерді емес, бір кілтті бұза алатын алға қарай құпиялылықты пайдаланады.
Яғни, SAE трафикті ұстайтын шабуылдаушы ұсталған деректер пайдасыз болғанға дейін құпия сөзді табудың бір ғана әрекеті болатындай етіп жасалған. Ұзақ құпия сөзді қалпына келтіруді ұйымдастыру үшін кіру нүктесіне физикалық рұқсат қажет.
Клиент құрылғысын қорғау
Cisco Catalyst 9800 сериясының сымсыз шешімдері қазіргі уақытта Cisco Umbrella WLAN арқылы тұтынушыларды қорғаудың негізгі мүмкіндігін қамтамасыз етеді, бұлтқа негізделген желілік қауіпсіздік қызметі DNS деңгейінде белгілі және пайда болатын қауіптерді автоматты түрде анықтау арқылы жұмыс істейді.
Cisco Umbrella WLAN клиенттік құрылғыларды Интернетке қауіпсіз қосылыммен қамтамасыз етеді. Бұл мазмұнды сүзу арқылы, яғни кәсіпорын саясатына сәйкес Интернеттегі ресурстарға қол жеткізуді блоктау арқылы қол жеткізіледі. Осылайша, Интернеттегі клиенттік құрылғылар зиянды бағдарламадан, төлемдік бағдарламадан және фишингтен қорғалған. Саясаттың орындалуы үздіксіз жаңартылатын 60 мазмұн санатына негізделген.
Автоматтандыру
Бүгінгі сымсыз желілер әлдеқайда икемді және күрделі, сондықтан сымсыз контроллерлерден ақпаратты конфигурациялаудың және алудың дәстүрлі әдістері жеткіліксіз. Желі әкімшілері мен ақпараттық қауіпсіздік мамандары автоматтандыру мен аналитика құралдарын қажет етеді, бұл сымсыз жеткізушілерді осындай құралдарды ұсынуға шақырады.
Бұл мәселелерді шешу үшін Cisco Catalyst 9800 сериялы сымсыз контроллерлер дәстүрлі API-мен бірге YANG (Het Another Next Generation) деректерді модельдеу тілімен RESTCONF / NETCONF желі конфигурациялау протоколына қолдау көрсетеді.
NETCONF — қолданбалар ақпаратты сұрау және сымсыз контроллерлер сияқты желілік құрылғылардың конфигурациясын өзгерту үшін пайдалана алатын XML негізіндегі протокол.
Осы әдістерге қосымша, Cisco Catalyst 9800 сериялы контроллерлер NetFlow және sFlow хаттамалары арқылы ақпарат ағынының деректерін түсіру, шығарып алу және талдау мүмкіндігін береді.
Қауіпсіздік пен трафикті модельдеу үшін нақты ағындарды бақылау мүмкіндігі құнды құрал болып табылады. Бұл мәселені шешу үшін әрбір жүзден екі пакетті түсіруге мүмкіндік беретін sFlow протоколы енгізілді. Дегенмен, кейде бұл ағынды талдау және барабар зерттеу және бағалау үшін жеткіліксіз болуы мүмкін. Сондықтан, балама - Cisco жүзеге асырған NetFlow, ол келесі талдау үшін белгіленген ағындағы барлық пакеттерді 100% жинауға және экспорттауға мүмкіндік береді.
Cisco Catalyst 9800 сериялы контроллерлерінде сымсыз желінің жұмысын автоматтандыруға мүмкіндік беретін контроллердің аппараттық іске асыруында ғана қол жетімді тағы бір мүмкіндік, пайдалану үшін қосымша ретінде Python тіліне кіріктірілген қолдау болып табылады. сценарийлерді тікелей сымсыз контроллердің өзінде.
Соңында, Cisco Catalyst 9800 сериялы контроллерлері бақылау және басқару операциялары үшін дәлелденген SNMP 1, 2 және 3 нұсқасы протоколын қолдайды.
Осылайша, автоматтандыру тұрғысынан Cisco Catalyst 9800 Series шешімдері кез келген өлшемдегі және күрделіліктегі сымсыз желілерде автоматтандырылған операциялар мен аналитика үшін жаңа және бірегей, сонымен қатар уақытпен тексерілген құралдарды ұсына отырып, заманауи бизнес талаптарына толығымен жауап береді.
қорытынды
Cisco Catalyst 9800 сериялы контроллерлерге негізделген шешімдерде Cisco жоғары қолжетімділік, қауіпсіздік және автоматтандыру санаттарында тамаша нәтижелер көрсетті.
Шешім жоспарланбаған оқиғалар кезінде екінші секундтық ауыстыру және жоспарланған оқиғалар үшін нөлдік тоқтау уақыты сияқты барлық жоғары қолжетімділік талаптарына толығымен сәйкес келеді.
Cisco Catalyst 9800 сериялы контроллерлері қолданбаларды тану және басқару үшін терең пакеттік тексеруді, деректер ағындарын толық көруді және шифрланған трафикте жасырылған қауіптерді анықтауды, сондай-ақ клиенттік құрылғылар үшін кеңейтілген аутентификация мен қауіпсіздік механизмдерін қамтамасыз ететін кешенді қауіпсіздікті қамтамасыз етеді.
Автоматтандыру және аналитика үшін Cisco Catalyst 9800 сериясы танымал стандартты үлгілерді пайдалана отырып қуатты мүмкіндіктерді ұсынады: YANG, NETCONF, RESTCONF, дәстүрлі API және кірістірілген Python сценарийлері.
Осылайша, Cisco заман ағымына ілесе отырып және заманауи бизнестің барлық қиындықтарын ескере отырып, желілік шешімдердің әлемдік жетекші өндірушісі ретіндегі мәртебесін тағы да растайды.
Catalyst коммутаторлар тобы туралы қосымша ақпарат алу үшін мына сайтқа кіріңіз cisco.
Ақпарат көзі: www.habr.com