I 2019 gjennomførte konsulentselskapet Miercom en uavhengig teknologisk vurdering av Wi-Fi 6-kontrollere av Cisco Catalyst 9800-serien. For denne studien ble det satt sammen en testbenk av Cisco Wi-Fi 6-kontrollere og tilgangspunkter, og den tekniske løsningen ble vurdert i følgende kategorier:
- Tilgjengelighet;
- sikkerhet;
- Automasjon.
Resultatene av studien er vist nedenfor. Siden 2019 har funksjonaliteten til kontrollerene i Cisco Catalyst 9800-serien blitt betydelig forbedret - disse punktene gjenspeiles også i denne artikkelen.
Du kan lese om andre fordeler med Wi-Fi 6-teknologi, eksempler på implementering og bruksområder.
Løsningsoversikt
Wi-Fi 6-kontrollere Cisco Catalyst 9800-serien
Cisco Catalyst 9800-seriens trådløse kontroller, basert på IOS-XE-operativsystemet (brukes også for Cisco-svitsjer og rutere), er tilgjengelig i en rekke alternativer.
Den eldre modellen av 9800-80-kontrolleren støtter trådløs nettverksgjennomstrømning på opptil 80 Gbps. Én 9800-80-kontroller støtter opptil 6000 64 tilgangspunkter og opptil 000 XNUMX trådløse klienter.
Mellomklassemodellen, 9800-40-kontrolleren, støtter opptil 40 Gbps gjennomstrømming, opptil 2000 32 tilgangspunkter og opptil 000 XNUMX trådløse klienter.
I tillegg til disse modellene inkluderte konkurranseanalysen også den trådløse 9800-CL-kontrolleren (CL står for Cloud). 9800-CL kjører i virtuelle miljøer på VMWare ESXI- og KVM-hypervisorer, og ytelsen er avhengig av de dedikerte maskinvareressursene for kontrollerens virtuelle maskin. I sin maksimale konfigurasjon støtter Cisco 9800-CL-kontrolleren, i likhet med den eldre modellen 9800-80, skalerbarhet opptil 6000 64 tilgangspunkter og opptil 000 XNUMX trådløse klienter.
Når det ble utført undersøkelser med kontrollere, ble Cisco Aironet AP 4800-seriens tilgangspunkter brukt, som støttet drift ved frekvenser på 2,4 og 5 GHz med muligheten til å dynamisk bytte til dobbel 5-GHz-modus.
Prøvestativ
Som en del av testingen ble et stativ satt sammen av to Cisco Catalyst 9800-CL trådløse kontrollere som opererer i en klynge og Cisco Aironet AP 4800-serien tilgangspunkter.
Bærbare datamaskiner fra Dell og Apple, samt en Apple iPhone-smarttelefon, ble brukt som klientenheter.
Tilgjengelighetstesting
Tilgjengelighet er definert som brukernes evne til å få tilgang til og bruke et system eller en tjeneste. Høy tilgjengelighet innebærer kontinuerlig tilgang til et system eller en tjeneste, uavhengig av visse hendelser.
Høy tilgjengelighet ble testet i fire scenarier, de tre første scenariene var forutsigbare eller planlagte hendelser som kunne oppstå i eller etter arbeidstid. Det femte scenariet er en klassisk fiasko, som er en uforutsigbar hendelse.
Beskrivelse av scenarier:
- Feilretting – en mikrooppdatering av systemet (feilretting eller sikkerhetsoppdatering), som lar deg fikse en bestemt feil eller sårbarhet uten en fullstendig oppdatering av systemprogramvaren;
- Funksjonell oppdatering – legge til eller utvide den gjeldende funksjonaliteten til systemet ved å installere funksjonelle oppdateringer;
- Full oppdatering – oppdater programvarebildet for kontrolleren;
- Legge til et tilgangspunkt – legge til en ny tilgangspunktmodell til et trådløst nettverk uten å måtte rekonfigurere eller oppdatere programvaren for den trådløse kontrolleren;
- Feil – feil på den trådløse kontrolleren.
Retting av feil og sårbarheter
Ofte, med mange konkurransedyktige løsninger, krever patching en fullstendig programvareoppdatering av det trådløse kontrollersystemet, noe som kan resultere i uplanlagt nedetid. Når det gjelder Cisco-løsningen, utføres patching uten å stoppe produktet. Patcher kan installeres på alle komponentene mens den trådløse infrastrukturen fortsetter å fungere.
Selve prosedyren er ganske enkel. Patch-filen kopieres til bootstrap-mappen på en av Ciscos trådløse kontrollere, og operasjonen bekreftes deretter via GUI eller kommandolinje. I tillegg kan du også angre og fjerne rettelsen via GUI eller kommandolinje, også uten å avbryte systemdriften.
Funksjonell oppdatering
Funksjonelle programvareoppdateringer brukes for å aktivere nye funksjoner. En av disse forbedringene er å oppdatere applikasjonssignaturdatabasen. Denne pakken ble installert på Cisco-kontrollere som en test. Akkurat som med patcher, blir funksjonsoppdateringer brukt, installert eller fjernet uten nedetid eller systemavbrudd.
Full oppdatering
For øyeblikket utføres en full oppdatering av kontrollprogramvarebildet på samme måte som en funksjonell oppdatering, det vil si uten nedetid. Denne funksjonen er imidlertid bare tilgjengelig i en klyngekonfigurasjon når det er mer enn én kontroller. En fullstendig oppdatering utføres sekvensielt: først på en kontroller, deretter på den andre.
Legger til en ny tilgangspunktmodell
Å koble nye tilgangspunkter, som ikke tidligere har vært drevet med kontrollprogramvarebildet som brukes, til et trådløst nettverk er en ganske vanlig operasjon, spesielt i store nettverk (flyplasser, hoteller, fabrikker). Ganske ofte i konkurrentløsninger krever denne operasjonen oppdatering av systemprogramvaren eller omstart av kontrollerene.
Når du kobler nye Wi-Fi 6-tilgangspunkter til en klynge av Cisco Catalyst 9800-kontrollere, observeres ingen slike problemer. Kobling av nye punkter til kontrolleren utføres uten å oppdatere kontrollerprogramvaren, og denne prosessen krever ingen omstart, og påvirker dermed ikke det trådløse nettverket på noen måte.
Kontrollerfeil
Testmiljøet bruker to Wi-Fi 6-kontrollere (Active/StandBy) og tilgangspunktet har en direkte tilkobling til begge kontrollerene.
En trådløs kontroller er aktiv, og den andre er henholdsvis backup. Hvis den aktive kontrolleren svikter, overtar reservekontrolleren og dens status endres til aktiv. Denne prosedyren skjer uten avbrudd for tilgangspunktet og Wi-Fi for klienter.
Безопасность
Denne delen diskuterer aspekter ved sikkerhet, som er et ekstremt presserende problem i trådløse nettverk. Løsningens sikkerhet vurderes ut fra følgende egenskaper:
- Søknadsgjenkjenning;
- Flow sporing;
- Analyse av kryptert trafikk;
- Deteksjon og forebygging av inntrenging;
- Autentisering betyr;
- Verktøy for beskyttelse av klientenheter.
Søknadsgjenkjenning
Blant variasjonen av produkter i bedriftens og industrielle Wi-Fi-markedet er det forskjeller i hvor godt produktene identifiserer trafikk etter applikasjon. Produkter fra forskjellige produsenter kan identifisere forskjellige antall applikasjoner. Imidlertid er mange av applikasjonene som konkurrerende løsninger viser som mulige for identifikasjon, faktisk nettsteder og ikke unike applikasjoner.
Det er et annet interessant trekk ved applikasjonsgjenkjenning: løsninger varierer sterkt i identifiseringsnøyaktighet.
Tatt i betraktning alle testene som er utført, kan vi på en ansvarlig måte fastslå at Ciscos Wi-Fi-6-løsning utfører applikasjonsgjenkjenning veldig nøyaktig: Jabber, Netflix, Dropbox, YouTube og andre populære applikasjoner, samt webtjenester, ble nøyaktig identifisert. Cisco-løsninger kan også dykke dypere inn i datapakker ved hjelp av DPI (Deep Packet Inspection).
Trafikkstrømsporing
En annen test ble utført for å se om systemet nøyaktig kunne spore og rapportere datastrømmer (som store filbevegelser). For å teste dette ble en 6,5 megabyte fil sendt over nettverket ved hjelp av File Transfer Protocol (FTP).
Cisco-løsningen var fullt opp til oppgaven og var i stand til å spore denne trafikken takket være NetFlow og maskinvarefunksjonene. Trafikk ble oppdaget og identifisert umiddelbart med den nøyaktige mengden data som ble overført.
Kryptert trafikkanalyse
Brukerdatatrafikk blir i økende grad kryptert. Dette gjøres for å beskytte det mot å bli sporet eller avskjært av angripere. Men samtidig bruker hackere i økende grad kryptering for å skjule malware og utføre andre tvilsomme operasjoner som Man-in-the-Middle (MiTM) eller keylogging-angrep.
De fleste virksomheter inspiserer noe av den krypterte trafikken ved først å dekryptere den ved hjelp av brannmurer eller inntrengningsforebyggende systemer. Men denne prosessen tar mye tid og gagner ikke ytelsen til nettverket som helhet. I tillegg, når de er dekryptert, blir disse dataene sårbare for nysgjerrige øyne.
Cisco Catalyst 9800 Series-kontrollere løser problemet med å analysere kryptert trafikk på andre måter. Løsningen heter Encrypted Traffic Analytics (ETA). ETA er en teknologi som foreløpig ikke har noen analoger i konkurrerende løsninger og som oppdager skadevare i kryptert trafikk uten behov for å dekryptere den. ETA er en kjernefunksjon i IOS-XE som inkluderer Enhanced NetFlow og bruker avanserte atferdsalgoritmer for å identifisere ondsinnede trafikkmønstre som skjuler seg i kryptert trafikk.
ETA dekrypterer ikke meldinger, men samler inn metadataprofiler av krypterte trafikkstrømmer – pakkestørrelse, tidsintervaller mellom pakker og mye mer. Metadataene eksporteres deretter i NetFlow v9-poster til Cisco Stealthwatch.
Nøkkelfunksjonen til Stealthwatch er å konstant overvåke trafikk, samt skape en grunnlinje for normal nettverksaktivitet. Ved å bruke krypterte strømmetadata sendt til den av ETA, bruker Stealthwatch flerlags maskinlæring for å identifisere atferdstrafikkavvik som kan indikere mistenkelige hendelser.
I fjor engasjerte Cisco Miercom til uavhengig å evaluere sin Cisco Encrypted Traffic Analytics-løsning. Under denne vurderingen sendte Miercom kjente og ukjente trusler (virus, trojanere, løsepengeprogram) separat i kryptert og ukryptert trafikk over store ETA- og ikke-ETA-nettverk for å identifisere trusler.
For testing ble skadelig kode lansert på begge nettverkene. I begge tilfeller ble mistenkelig aktivitet gradvis oppdaget. ETA-nettverket oppdaget i utgangspunktet trusler 36 % raskere enn ikke-ETA-nettverket. Samtidig, etter hvert som arbeidet skred frem, begynte deteksjonsproduktiviteten i ETA-nettverket å øke. Som et resultat, etter flere timers arbeid, ble to tredjedeler av aktive trusler oppdaget i ETA-nettverket, noe som er dobbelt så mye som i ikke-ETA-nettverket.
ETA-funksjonalitet er godt integrert med Stealthwatch. Trusler er rangert etter alvorlighetsgrad og vises med detaljert informasjon, samt utbedringsalternativer når de er bekreftet. Konklusjon – ETA fungerer!
Inntrengningsdeteksjon og forebygging
Cisco har nå et annet effektivt sikkerhetsverktøy - Cisco Advanced Wireless Intrusion Prevention System (aWIPS): en mekanisme for å oppdage og forhindre trusler mot trådløse nettverk. aWIPS-løsningen fungerer på nivå med kontrollere, tilgangspunkter og Cisco DNA Center-administrasjonsprogramvare. Trusseldeteksjon, varsling og forebygging kombinerer nettverkstrafikkanalyse, nettverksenhets- og nettverkstopologiinformasjon, signaturbaserte teknikker og anomalideteksjon for å levere svært nøyaktige og forebyggbare trådløse trusler.
Ved å integrere aWIPS fullt ut i nettverksinfrastrukturen din, kan du kontinuerlig overvåke trådløs trafikk på både kablede og trådløse nettverk og bruke den til automatisk å analysere potensielle angrep fra flere kilder for å gi den mest mulige deteksjon og forebygging.
Autentisering betyr
For øyeblikket, i tillegg til klassiske autentiseringsverktøy, støtter Cisco Catalyst 9800-seriens løsninger WPA3. WPA3 er den nyeste versjonen av WPA, som er et sett med protokoller og teknologier som gir autentisering og kryptering for Wi-Fi-nettverk.
WPA3 bruker Simultaneous Authentication of Equals (SAE) for å gi den sterkeste beskyttelsen for brukere mot passordgjettingsforsøk fra tredjeparter. Når en klient kobler til et tilgangspunkt, utfører den en SAE-utveksling. Hvis det lykkes, vil hver av dem lage en kryptografisk sterk nøkkel som øktnøkkelen vil bli avledet fra, og deretter vil de gå inn i bekreftelsestilstanden. Klienten og tilgangspunktet kan deretter gå inn i håndtrykktilstander hver gang en øktnøkkel må genereres. Metoden bruker fremadrettet hemmelighold, der en angriper kan knekke én nøkkel, men ikke alle andre nøkler.
Det vil si at SAE er utformet på en slik måte at en angriper som avskjærer trafikk har bare ett forsøk på å gjette passordet før de avlyttede dataene blir ubrukelige. For å organisere en lang passordgjenoppretting trenger du fysisk tilgang til tilgangspunktet.
Klientenhetsbeskyttelse
Cisco Catalyst 9800-seriens trådløse løsninger gir for tiden den primære kundebeskyttelsesfunksjonen gjennom Cisco Umbrella WLAN, en skybasert nettverkssikkerhetstjeneste som opererer på DNS-nivå med automatisk gjenkjenning av både kjente og nye trusler.
Cisco Umbrella WLAN gir klientenheter en sikker tilkobling til Internett. Dette oppnås gjennom innholdsfiltrering, det vil si ved å blokkere tilgang til ressurser på Internett i samsvar med bedriftens retningslinjer. Dermed er klientenheter på Internett beskyttet mot skadelig programvare, løsepengeprogramvare og phishing. Håndhevelse av retningslinjer er basert på 60 kontinuerlig oppdaterte innholdskategorier.
Automatisering
Dagens trådløse nettverk er mye mer fleksible og komplekse, så tradisjonelle metoder for å konfigurere og hente informasjon fra trådløse kontrollere er ikke nok. Nettverksadministratorer og informasjonssikkerhetseksperter krever verktøy for automatisering og analyser, noe som får trådløse leverandører til å tilby slike verktøy.
For å løse disse problemene gir Cisco Catalyst 9800-seriens trådløse kontrollere, sammen med den tradisjonelle API-en, støtte for RESTCONF / NETCONF nettverkskonfigurasjonsprotokollen med YANG (Yet Another Next Generation) datamodelleringsspråk.
NETCONF er en XML-basert protokoll som applikasjoner kan bruke til å søke etter informasjon og endre konfigurasjonen av nettverksenheter som trådløse kontrollere.
I tillegg til disse metodene gir Cisco Catalyst 9800 Series-kontrollere muligheten til å fange opp, hente og analysere informasjonsflytdata ved hjelp av NetFlow- og sFlow-protokollene.
For sikkerhet og trafikkmodellering er muligheten til å spore spesifikke flyter et verdifullt verktøy. For å løse dette problemet ble sFlow-protokollen implementert, som lar deg fange opp to pakker av hver hundre. Men noen ganger er dette kanskje ikke nok til å analysere og studere og evaluere flyten. Derfor er et alternativ NetFlow, implementert av Cisco, som lar deg 100 % samle og eksportere alle pakker i en spesifisert flyt for påfølgende analyse.
En annen funksjon som imidlertid kun er tilgjengelig i maskinvareimplementeringen av kontrollerene, som lar deg automatisere driften av det trådløse nettverket i Cisco Catalyst 9800-seriens kontrollere, er innebygd støtte for Python-språket som et tillegg for bruk skript direkte på selve den trådløse kontrolleren.
Til slutt støtter Cisco Catalyst 9800 Series-kontrollere den velprøvde SNMP versjon 1, 2 og 3-protokollen for overvåking og administrasjonsoperasjoner.
Når det gjelder automatisering, oppfyller Cisco Catalyst 9800-seriens løsninger fullt ut moderne forretningskrav, og tilbyr både nye og unike, samt tidstestede verktøy for automatiserte operasjoner og analyser i trådløse nettverk av enhver størrelse og kompleksitet.
Konklusjon
I løsninger basert på Cisco Catalyst 9800 Series-kontrollere, viste Cisco utmerkede resultater innen kategoriene høy tilgjengelighet, sikkerhet og automatisering.
Løsningen oppfyller fullt ut alle høye tilgjengelighetskrav som sub-second failover under uplanlagte hendelser og null nedetid for planlagte hendelser.
Cisco Catalyst 9800 Series-kontrollere gir omfattende sikkerhet som gir dyp pakkeinspeksjon for applikasjonsgjenkjenning og kontroll, fullstendig innsyn i dataflyter og identifikasjon av trusler skjult i kryptert trafikk, samt avanserte autentiserings- og sikkerhetsmekanismer for klientenheter.
For automatisering og analyser tilbyr Cisco Catalyst 9800-serien kraftige funksjoner ved å bruke populære standardmodeller: YANG, NETCONF, RESTCONF, tradisjonelle APIer og innebygde Python-skript.
Dermed bekrefter Cisco nok en gang sin status som verdens ledende produsent av nettverksløsninger, følger med tiden og tar hensyn til alle utfordringene i moderne virksomhet.
For mer informasjon om Catalyst-svitsjfamilien, besøk cisco.
Kilde: www.habr.com