Pada tahun 2019, syarikat perunding Miercom menjalankan penilaian teknologi bebas pengawal Wi-Fi 6 siri Cisco Catalyst 9800. Untuk kajian ini, bangku ujian telah dipasang daripada pengawal dan titik akses Cisco Wi-Fi 6, dan penyelesaian teknikal adalah dinilai dalam kategori berikut:
- Ketersediaan;
- Keselamatan;
- Automasi.
Hasil kajian ditunjukkan di bawah. Sejak 2019, fungsi pengawal siri Cisco Catalyst 9800 telah dipertingkatkan dengan ketara - perkara ini juga ditunjukkan dalam artikel ini.
Anda boleh membaca tentang kelebihan lain teknologi Wi-Fi 6, contoh pelaksanaan dan bidang aplikasi.
Gambaran Keseluruhan Penyelesaian
Pengawal Wi-Fi 6 siri Cisco Catalyst 9800
Pengawal Tanpa Wayar Cisco Catalyst 9800 Series, berdasarkan sistem pengendalian IOS-XE (juga digunakan untuk suis dan penghala Cisco), tersedia dalam pelbagai pilihan.
Model lama pengawal 9800-80 menyokong daya pemprosesan rangkaian wayarles sehingga 80 Gbps. Satu pengawal 9800-80 menyokong sehingga 6000 titik akses dan sehingga 64 pelanggan wayarles.
Model jarak pertengahan, pengawal 9800-40, menyokong sehingga 40 Gbps throughput, sehingga 2000 titik akses dan sehingga 32 pelanggan tanpa wayar.
Sebagai tambahan kepada model ini, analisis kompetitif juga termasuk pengawal wayarles 9800-CL (CL bermaksud Cloud). 9800-CL berjalan dalam persekitaran maya pada VMWare ESXI dan hipervisor KVM, dan prestasinya bergantung pada sumber perkakasan khusus untuk mesin maya pengawal. Dalam konfigurasi maksimumnya, pengawal Cisco 9800-CL, seperti model lama 9800-80, menyokong kebolehskalaan sehingga 6000 titik akses dan sehingga 64 pelanggan wayarles.
Semasa menjalankan penyelidikan dengan pengawal, titik capaian siri Cisco Aironet AP 4800 telah digunakan, menyokong operasi pada frekuensi 2,4 dan 5 GHz dengan keupayaan untuk bertukar secara dinamik kepada mod dwi 5-GHz.
Tempat ujian
Sebagai sebahagian daripada ujian, pendirian telah dipasang daripada dua pengawal wayarles Cisco Catalyst 9800-CL yang beroperasi dalam kluster dan titik akses siri Cisco Aironet AP 4800.
Komputer riba daripada Dell dan Apple, serta telefon pintar Apple iPhone, digunakan sebagai peranti pelanggan.
Ujian Kebolehcapaian
Ketersediaan ditakrifkan sebagai keupayaan pengguna untuk mengakses dan menggunakan sistem atau perkhidmatan. Ketersediaan tinggi membayangkan akses berterusan kepada sistem atau perkhidmatan, bebas daripada peristiwa tertentu.
Ketersediaan tinggi telah diuji dalam empat senario, tiga senario pertama adalah peristiwa yang boleh diramal atau dijadualkan yang boleh berlaku semasa atau selepas waktu perniagaan. Senario kelima ialah kegagalan klasik, yang merupakan peristiwa yang tidak dapat diramalkan.
Penerangan senario:
- Pembetulan ralat β kemas kini mikro sistem (pembetulan pepijat atau patch keselamatan), yang membolehkan anda membetulkan ralat atau kelemahan tertentu tanpa kemas kini lengkap perisian sistem;
- Kemas kini fungsian β menambah atau mengembangkan kefungsian semasa sistem dengan memasang kemas kini berfungsi;
- Kemas kini penuh β kemas kini imej perisian pengawal;
- Menambah pusat akses β menambah model pusat akses baharu pada rangkaian wayarles tanpa perlu mengkonfigurasi semula atau mengemas kini perisian pengawal wayarles;
- Kegagalanβkegagalan pengawal wayarles.
Membaiki pepijat dan kelemahan
Selalunya, dengan banyak penyelesaian yang kompetitif, menampal memerlukan kemas kini perisian lengkap sistem pengawal wayarles, yang boleh mengakibatkan masa henti yang tidak dirancang. Dalam kes penyelesaian Cisco, tampalan dilakukan tanpa menghentikan produk. Tampalan boleh dipasang pada mana-mana komponen sementara infrastruktur wayarles terus beroperasi.
Prosedur itu sendiri agak mudah. Fail tampalan disalin ke folder bootstrap pada salah satu pengawal wayarles Cisco, dan operasi itu kemudiannya disahkan melalui GUI atau baris arahan. Selain itu, anda juga boleh membuat asal dan mengalih keluar pembetulan melalui GUI atau baris arahan, juga tanpa mengganggu operasi sistem.
Kemas kini berfungsi
Kemas kini perisian berfungsi digunakan untuk mendayakan fungsi baharu. Salah satu penambahbaikan ini ialah mengemas kini pangkalan data tandatangan aplikasi. Pakej ini telah dipasang pada pengawal Cisco sebagai ujian. Sama seperti tampung, kemas kini ciri digunakan, dipasang atau dialih keluar tanpa sebarang gangguan atau gangguan sistem.
Kemas kini penuh
Pada masa ini, kemas kini penuh imej perisian pengawal dilakukan dengan cara yang sama seperti kemas kini berfungsi, iaitu, tanpa masa henti. Walau bagaimanapun, ciri ini hanya tersedia dalam konfigurasi kluster apabila terdapat lebih daripada satu pengawal. Kemas kini lengkap dilakukan secara berurutan: pertama pada satu pengawal, kemudian pada yang kedua.
Menambah model pusat akses baharu
Menyambung titik capaian baharu, yang sebelum ini tidak pernah dikendalikan dengan imej perisian pengawal yang digunakan, kepada rangkaian wayarles adalah operasi yang agak biasa, terutamanya dalam rangkaian besar (lapangan terbang, hotel, kilang). Selalunya dalam penyelesaian pesaing, operasi ini memerlukan pengemaskinian perisian sistem atau but semula pengawal.
Apabila menyambungkan titik akses Wi-Fi 6 baharu kepada sekumpulan pengawal siri Cisco Catalyst 9800, tiada masalah sedemikian diperhatikan. Menyambung titik baharu kepada pengawal dijalankan tanpa mengemas kini perisian pengawal, dan proses ini tidak memerlukan but semula, sekali gus tidak menjejaskan rangkaian wayarles dalam apa jua cara.
Kegagalan pengawal
Persekitaran ujian menggunakan dua pengawal Wi-Fi 6 (Aktif/StandBy) dan pusat akses mempunyai sambungan terus kepada kedua-dua pengawal.
Satu pengawal wayarles aktif, dan satu lagi, masing-masing, adalah sandaran. Jika pengawal aktif gagal, pengawal sandaran mengambil alih dan statusnya berubah kepada aktif. Prosedur ini berlaku tanpa gangguan untuk pusat akses dan Wi-Fi untuk pelanggan.
keselamatan
Bahagian ini membincangkan aspek keselamatan, yang merupakan isu yang sangat mendesak dalam rangkaian wayarles. Keselamatan penyelesaian dinilai berdasarkan ciri-ciri berikut:
- Pengiktirafan permohonan;
- Penjejakan aliran;
- Analisis trafik yang disulitkan;
- Pengesanan dan pencegahan pencerobohan;
- Pengesahan bermaksud;
- Alat perlindungan peranti pelanggan.
Pengiktirafan aplikasi
Antara kepelbagaian produk dalam pasaran Wi-Fi perusahaan dan perindustrian, terdapat perbezaan dalam sejauh mana produk mengenal pasti trafik melalui aplikasi. Produk daripada pengeluar yang berbeza mungkin mengenal pasti bilangan aplikasi yang berbeza. Walau bagaimanapun, kebanyakan aplikasi yang disenaraikan penyelesaian kompetitif yang mungkin untuk pengenalpastian adalah, sebenarnya, tapak web dan bukan aplikasi unik.
Terdapat satu lagi ciri menarik bagi pengecaman aplikasi: penyelesaian sangat berbeza dalam ketepatan pengenalan.
Dengan mengambil kira semua ujian yang dilakukan, kami boleh menyatakan dengan bertanggungjawab bahawa penyelesaian Wi-Fi-6 Cisco melaksanakan pengecaman aplikasi dengan sangat tepat: Jabber, Netflix, Dropbox, YouTube dan aplikasi popular lain, serta perkhidmatan web, telah dikenal pasti dengan tepat. Penyelesaian Cisco juga boleh menyelam lebih dalam ke dalam paket data menggunakan DPI (Deep Packet Inspection).
Penjejakan aliran trafik
Ujian lain telah dijalankan untuk melihat sama ada sistem boleh menjejak dan melaporkan aliran data dengan tepat (seperti pergerakan fail yang besar). Untuk menguji ini, fail 6,5 megabait telah dihantar melalui rangkaian menggunakan Protokol Pemindahan Fail (FTP).
Penyelesaian Cisco memenuhi tugas sepenuhnya dan dapat menjejaki trafik ini berkat NetFlow dan keupayaan perkakasannya. Trafik telah dikesan dan dikenal pasti serta-merta dengan jumlah sebenar data yang dipindahkan.
Analisis trafik yang disulitkan
Trafik data pengguna semakin disulitkan. Ini dilakukan untuk melindunginya daripada dikesan atau dipintas oleh penyerang. Tetapi pada masa yang sama, penggodam semakin menggunakan penyulitan untuk menyembunyikan perisian hasad mereka dan menjalankan operasi lain yang meragukan seperti Man-in-the-Middle (MiTM) atau serangan keylogging.
Kebanyakan perniagaan memeriksa beberapa trafik mereka yang disulitkan dengan terlebih dahulu menyahsulitnya menggunakan tembok api atau sistem pencegahan pencerobohan. Tetapi proses ini mengambil banyak masa dan tidak memberi manfaat kepada prestasi rangkaian secara keseluruhan. Di samping itu, setelah dinyahsulit, data ini menjadi terdedah kepada mata yang mengintip.
Pengawal Cisco Catalyst 9800 Series berjaya menyelesaikan masalah menganalisis trafik yang disulitkan dengan cara lain. Penyelesaiannya dipanggil Encrypted Traffic Analytics (ETA). ETA ialah teknologi yang pada masa ini tidak mempunyai analog dalam penyelesaian kompetitif dan yang mengesan perisian hasad dalam trafik yang disulitkan tanpa perlu menyahsulitnya. ETA ialah ciri teras IOS-XE yang merangkumi NetFlow Dipertingkat dan menggunakan algoritma tingkah laku lanjutan untuk mengenal pasti corak trafik berniat jahat yang bersembunyi dalam trafik yang disulitkan.
ETA tidak menyahsulit mesej, tetapi mengumpul profil metadata aliran trafik yang disulitkan - saiz paket, selang masa antara paket dan banyak lagi. Metadata kemudiannya dieksport dalam rekod NetFlow v9 ke Cisco Stealthwatch.
Fungsi utama Stealthwatch adalah untuk sentiasa memantau trafik, serta mencipta garis asas aktiviti rangkaian biasa. Menggunakan metadata strim yang disulitkan yang dihantar kepadanya oleh ETA, Stealthwatch menggunakan pembelajaran mesin berbilang lapisan untuk mengenal pasti anomali trafik tingkah laku yang mungkin menunjukkan peristiwa yang mencurigakan.
Tahun lepas, Cisco melibatkan Miercom untuk menilai secara bebas penyelesaian Analitis Trafik Disulitkan Cisconya. Semasa penilaian ini, Miercom menghantar secara berasingan ancaman yang diketahui dan tidak diketahui (virus, Trojan, perisian tebusan) dalam trafik yang disulitkan dan tidak disulitkan merentas rangkaian ETA dan bukan ETA yang besar untuk mengenal pasti ancaman.
Untuk ujian, kod hasad telah dilancarkan pada kedua-dua rangkaian. Dalam kedua-dua kes, aktiviti yang mencurigakan secara beransur-ansur ditemui. Rangkaian ETA pada mulanya mengesan ancaman 36% lebih cepat daripada rangkaian bukan ETA. Pada masa yang sama, apabila kerja berkembang, produktiviti pengesanan dalam rangkaian ETA mula meningkat. Akibatnya, selepas beberapa jam bekerja, dua pertiga daripada ancaman aktif berjaya dikesan dalam rangkaian ETA, iaitu dua kali lebih banyak daripada rangkaian bukan ETA.
Fungsi ETA disepadukan dengan baik dengan Stealthwatch. Ancaman disusun mengikut tahap keterukan dan dipaparkan dengan maklumat terperinci, serta pilihan pemulihan setelah disahkan. Kesimpulan β ETA berfungsi!
Pengesanan dan pencegahan pencerobohan
Cisco kini mempunyai satu lagi alat keselamatan yang berkesan - Cisco Advanced Wireless Intrusion Prevention System (aWIPS): mekanisme untuk mengesan dan mencegah ancaman kepada rangkaian wayarles. Penyelesaian aWIPS beroperasi pada tahap pengawal, pusat akses dan perisian pengurusan Cisco DNA Center. Pengesanan, amaran dan pencegahan ancaman menggabungkan analisis trafik rangkaian, peranti rangkaian dan maklumat topologi rangkaian, teknik berasaskan tandatangan dan pengesanan anomali untuk menyampaikan ancaman wayarles yang sangat tepat dan boleh dicegah.
Menyepadukan sepenuhnya aWIPS ke dalam infrastruktur rangkaian anda, anda boleh memantau trafik wayarles secara berterusan pada kedua-dua rangkaian berwayar dan wayarles dan menggunakannya untuk menganalisis potensi serangan secara automatik daripada pelbagai sumber untuk menyediakan pengesanan dan pencegahan paling komprehensif yang mungkin.
Pengesahan bermaksud
Pada masa ini, sebagai tambahan kepada alat pengesahan klasik, penyelesaian siri Cisco Catalyst 9800 menyokong WPA3. WPA3 ialah versi terbaru WPA, yang merupakan satu set protokol dan teknologi yang menyediakan pengesahan dan penyulitan untuk rangkaian Wi-Fi.
WPA3 menggunakan Pengesahan Serentak Persamaan (SAE) untuk memberikan perlindungan terkuat bagi pengguna terhadap percubaan meneka kata laluan oleh pihak ketiga. Apabila pelanggan menyambung ke pusat akses, ia melakukan pertukaran SAE. Jika berjaya, setiap daripada mereka akan mencipta kunci yang kukuh secara kriptografi dari mana kunci sesi akan diperoleh, dan kemudian mereka akan memasuki keadaan pengesahan. Pelanggan dan pusat akses kemudiannya boleh memasukkan keadaan jabat tangan setiap kali kunci sesi perlu dijana. Kaedah ini menggunakan kerahsiaan hadapan, di mana penyerang boleh memecahkan satu kunci, tetapi bukan semua kunci lain.
Iaitu, SAE direka sedemikian rupa sehingga penyerang memintas lalu lintas hanya mempunyai satu percubaan untuk meneka kata laluan sebelum data yang dipintas menjadi tidak berguna. Untuk mengatur pemulihan kata laluan yang panjang, anda memerlukan akses fizikal ke pusat akses.
Perlindungan peranti pelanggan
Penyelesaian wayarles Cisco Catalyst 9800 Series pada masa ini menyediakan perlindungan pelanggan teras melalui Cisco Umbrella WLAN, perkhidmatan keselamatan rangkaian berasaskan awan yang beroperasi pada peringkat DNS dengan pengesanan automatik kedua-dua ancaman yang diketahui dan yang muncul.
Cisco Umbrella WLAN menyediakan peranti pelanggan dengan sambungan selamat ke Internet. Ini dicapai melalui penapisan kandungan, iaitu, dengan menyekat akses kepada sumber di Internet mengikut dasar perusahaan. Oleh itu, peranti pelanggan di Internet dilindungi daripada perisian hasad, perisian tebusan dan pancingan data. Penguatkuasaan dasar adalah berdasarkan 60 kategori kandungan yang dikemas kini secara berterusan.
Automasi
Rangkaian wayarles hari ini jauh lebih fleksibel dan kompleks, jadi kaedah tradisional untuk mengkonfigurasi dan mendapatkan maklumat daripada pengawal wayarles tidak mencukupi. Pentadbir rangkaian dan profesional keselamatan maklumat memerlukan alat untuk automasi dan analitik, mendorong vendor wayarles untuk menawarkan alat tersebut.
Untuk menyelesaikan masalah ini, pengawal wayarles siri Cisco Catalyst 9800, bersama-sama dengan API tradisional, menyediakan sokongan untuk protokol konfigurasi rangkaian RESTCONF / NETCONF dengan bahasa pemodelan data YANG (Yet Another Next Generation).
NETCONF ialah protokol berasaskan XML yang boleh digunakan oleh aplikasi untuk menanyakan maklumat dan menukar konfigurasi peranti rangkaian seperti pengawal wayarles.
Sebagai tambahan kepada kaedah ini, Pengawal Siri Cisco Catalyst 9800 menyediakan keupayaan untuk menangkap, mendapatkan dan menganalisis data aliran maklumat menggunakan protokol NetFlow dan sFlow.
Untuk pemodelan keselamatan dan trafik, keupayaan untuk menjejaki aliran tertentu ialah alat yang berharga. Untuk menyelesaikan masalah ini, protokol sFlow telah dilaksanakan, yang membolehkan anda menangkap dua paket daripada setiap seratus. Walau bagaimanapun, kadangkala ini mungkin tidak mencukupi untuk menganalisis dan mengkaji dan menilai aliran dengan secukupnya. Oleh itu, alternatif ialah NetFlow, dilaksanakan oleh Cisco, yang membolehkan anda 100% mengumpul dan mengeksport semua paket dalam aliran tertentu untuk analisis seterusnya.
Walau bagaimanapun, ciri lain, hanya tersedia dalam pelaksanaan perkakasan pengawal, yang membolehkan anda mengautomasikan operasi rangkaian wayarles dalam pengawal siri Cisco Catalyst 9800, adalah sokongan terbina dalam untuk bahasa Python sebagai alat tambah untuk menggunakan skrip terus pada pengawal wayarles itu sendiri.
Akhir sekali, Cisco Catalyst 9800 Series Controllers menyokong protokol SNMP versi 1, 2, dan 3 yang terbukti untuk operasi pemantauan dan pengurusan.
Oleh itu, dari segi automasi, penyelesaian Cisco Catalyst 9800 Series memenuhi sepenuhnya keperluan perniagaan moden, menawarkan kedua-dua alat baharu dan unik, serta alat yang diuji masa untuk operasi automatik dan analitik dalam rangkaian tanpa wayar dari sebarang saiz dan kerumitan.
Kesimpulan
Dalam penyelesaian berdasarkan Pengawal Siri Cisco Catalyst 9800, Cisco menunjukkan keputusan cemerlang dalam kategori ketersediaan tinggi, keselamatan dan automasi.
Penyelesaian itu memenuhi sepenuhnya semua keperluan ketersediaan tinggi seperti failover subsaat semasa acara tidak dirancang dan masa henti sifar untuk acara yang dijadualkan.
Pengawal Siri Cisco Catalyst 9800 menyediakan keselamatan komprehensif yang menyediakan pemeriksaan paket yang mendalam untuk pengecaman dan pengurusan aplikasi, keterlihatan lengkap ke dalam aliran data, dan pengenalpastian ancaman tersembunyi dalam trafik yang disulitkan, serta mekanisme pengesahan dan keselamatan lanjutan untuk peranti klien.
Untuk automasi dan analitik, Cisco Catalyst 9800 Series menawarkan keupayaan berkuasa menggunakan model standard popular: YANG, NETCONF, RESTCONF, API tradisional dan skrip Python terbina dalam.
Oleh itu, Cisco sekali lagi mengesahkan statusnya sebagai pengeluar penyelesaian rangkaian terkemuka dunia, mengikut peredaran masa dan mengambil kira semua cabaran perniagaan moden.
Untuk mendapatkan maklumat lanjut tentang keluarga suis Catalyst, lawati Cisco.
Sumber: www.habr.com