که تاسو کنټرولر لرئ، کومه ستونزه نشته: څنګه په اسانۍ سره خپل بېسیم شبکه وساتئ

په 2019 کې، مشورتي شرکت Miercom د Cisco Catalyst 6 لړۍ د Wi-Fi 9800 کنټرولرونو خپلواکه تخنیکي ارزونه ترسره کړه، د دې مطالعې لپاره، د سیسکو Wi-Fi 6 کنټرولرونو او د لاسرسي نقطو څخه د ازموینې بنچ راټول شوی و، او تخنیکي حل یې و. په لاندې کټګوریو کې ارزول شوي:

• شتون
• امنیت؛
• اتوماتیک.

د مطالعې پایلې لاندې ښودل شوي. د 2019 راهیسې ، د سیسکو کتلست 9800 لړۍ کنټرولرونو فعالیت د پام وړ ښه شوی - دا ټکي هم پدې مقاله کې منعکس شوي.

تاسو کولی شئ د Wi-Fi 6 ټیکنالوژۍ نورو ګټو په اړه ولولئ ، د پلي کولو مثالونه او د غوښتنلیک ساحې دلته.

د حل لنډیز

د Wi-Fi 6 کنټرولر د سیسکو کتلست 9800 لړۍ

د سیسکو کتلست 9800 لړۍ بې سیم کنټرولرونه، د IOS-XE عملیاتي سیسټم پراساس (د سیسکو سویچونو او راوټرونو لپاره هم کارول کیږي) په مختلفو اختیارونو کې شتون لري.

د 9800-80 کنټرولر زوړ ماډل تر 80 Gbps پورې د بې سیمه شبکې له لارې ملاتړ کوي. یو 9800-80 کنټرولر تر 6000 پورې د لاسرسي نقطو او تر 64 بې سیم پیرودونکو پورې ملاتړ کوي.

د منځنۍ کچې ماډل، د 9800-40 کنټرولر، د 40 Gbps تروپوټ پورې، تر 2000 پورې د لاسرسي نقطو او تر 32 بې سیم مراجعینو پورې ملاتړ کوي.

د دې ماډلونو سربیره ، رقابتي تحلیل کې د 9800-CL بې سیم کنټرولر هم شامل و (CL د کلاوډ لپاره ولاړ دی). 9800-CL د VMWare ESXI او KVM هایپروایسرونو کې په مجازی چاپیریال کې چلیږي ، او د دې فعالیت د کنټرولر مجازی ماشین لپاره وقف شوي هارډویر سرچینو پورې اړه لري. په خپل اعظمي ترتیب کې، د سیسکو 9800-CL کنټرولر، د زاړه ماډل 9800-80 په څیر، تر 6000 لاسرسي نقطو او تر 64 بې سیم پیرودونکو پورې د توزیع کولو ملاتړ کوي.

کله چې د کنټرولرانو سره څیړنه ترسره کول، د Cisco Aironet AP 4800 لړۍ د لاسرسي نقطې کارول شوي، د 2,4 او 5 GHz په فریکونسیو کې د عملیاتو ملاتړ کول په متحرک ډول د دوه ګوني 5-GHz حالت ته د بدلولو وړتیا سره.

د ازموینې موقف

د ازموینې د یوې برخې په توګه ، یو سټینډ د دوه سیسکو کتلست 9800-CL بې سیم کنټرولرونو څخه راټول شوی و چې په کلستر کې فعالیت کوي او د سیسکو ایرونیټ AP 4800 لړۍ لاسرسي نقطو کې.

د ډیل او ایپل لپټاپونه، او همدارنګه د Apple iPhone سمارټ فون، د پیرودونکي وسیلو په توګه کارول شوي.

د لاسرسي ازموینه

شتون د سیسټم یا خدماتو ته د لاسرسي او کارولو لپاره د کاروونکو وړتیا په توګه تعریف شوی. لوړ شتون د ځینې پیښو څخه خپلواک سیسټم یا خدمت ته دوامداره لاسرسي معنی لري.

لوړ شتون په څلورو سناریوګانو کې ازمول شوی و، لومړۍ درې سناریوګانې د وړاندوینې وړ یا ټاکل شوي پیښې دي چې د سوداګرۍ ساعتونو په جریان کې یا وروسته پیښ کیدی شي. پنځمه سناریو یوه کلاسیک ناکامي ده، کوم چې یوه غیر متوقع پیښه ده.

د سناریو توضیحات:

• د خطا اصلاح - د سیسټم مایکرو تازه کول (بګ فکس یا امنیت پیچ)، کوم چې تاسو ته اجازه درکوي د سیسټم سافټویر بشپړ تازه کولو پرته یوه ځانګړې تېروتنه یا زیانمنتیا حل کړئ؛
• فعال تازه کول - د فعال تازه معلوماتو په نصبولو سره د سیسټم اوسني فعالیت اضافه کول یا پراخول؛
• بشپړ تازه کول - د کنټرولر سافټویر عکس تازه کړئ؛
• د لاسرسي نقطې اضافه کول - د بې سیم کنټرول سافټویر بیا تنظیم کولو یا تازه کولو اړتیا پرته بې سیم شبکې ته د نوي لاسرسي نقطې ماډل اضافه کول؛
• ناکامي - د بې سیمه کنټرولر ناکامي.

د کیګونو او زیانونو حل کول

ډیری وختونه ، د ډیری رقابتي حلونو سره ، پیچ کول د بې سیم کنټرولر سیسټم بشپړ سافټویر تازه کولو ته اړتیا لري ، کوم چې د غیر پلان شوي ځنډ وخت پایله کولی شي. د سیسکو حل په حالت کې، پیچ کول پرته له دې چې محصول ودروي ترسره کیږي. پیچونه په هره برخه کې نصب کیدی شي پداسې حال کې چې د بې سیم زیربنا کار ته دوام ورکوي.

پخپله کړنلاره خورا ساده ده. د پیچ ​​فایل د سیسکو بې سیم کنټرولرونو څخه د بوټسټریپ فولډر ته کاپي شوی ، او عملیات بیا د GUI یا کمانډ لاین له لارې تایید کیږي. سربیره پردې ، تاسو کولی شئ د GUI یا کمانډ لاین له لارې فکس بیرته او لرې کړئ ، پرته له دې چې د سیسټم عملیات مداخله وکړي.

فعال تازه کول

فعال سافټویر تازه معلومات د نوو ځانګړتیاوو د فعالولو لپاره پلي کیږي. یو له دې پرمختګونو څخه د غوښتنلیک لاسلیک ډیټابیس تازه کول دي. دا کڅوړه د سیسکو کنټرولرونو کې د ازموینې په توګه نصب شوې. لکه د پیچونو په څیر ، د فیچر تازه معلومات پرته له کوم ځنډ یا سیسټم مداخلې پلي کیږي ، نصب شوي یا لرې کیږي.

بشپړ تازه

په اوس وخت کې، د کنټرولر سافټویر عکس بشپړ تازه کول د فعال تازه کولو په څیر ترسره کیږي، دا د وخت څخه پرته. په هرصورت، دا خصوصیت یوازې په کلستر ترتیب کې شتون لري کله چې له یو څخه ډیر کنټرولر شتون ولري. یو بشپړ تازه کول په ترتیب سره ترسره کیږي: لومړی په یو کنټرولر کې ، بیا په دوهم کې.

د نوي لاسرسي نقطې ماډل اضافه کول

د نوي لاسرسي نقطو سره وصل کول ، کوم چې دمخه د کنټرولر سافټویر عکس سره کارول شوي ندي ، د بې سیم شبکې سره یو عام عملیات دی ، په ځانګړي توګه په لویو شبکو (هوایی ډګرونو ، هوټلونو ، فابریکو). ډیری وختونه د سیالي حلونو کې ، دا عملیات د سیسټم سافټویر تازه کولو یا کنټرولرونو ریبوټ کولو ته اړتیا لري.

کله چې د سیسکو کتلست 6 لړۍ کنټرولرونو کلستر ته د نوي Wi-Fi 9800 لاسرسي نقطې وصل کړئ ، هیڅ ډول ستونزې نه لیدل کیږي. کنټرولر ته د نویو ټکو نښلول د کنټرولر سافټویر تازه کولو پرته ترسره کیږي ، او دا پروسه ریبوټ ته اړتیا نلري ، پدې توګه په هیڅ ډول د بې سیم شبکه اغیزه نه کوي.

د کنټرول ناکامي

د ازموینې چاپیریال دوه Wi-Fi 6 کنټرولرونه کاروي (فعال/StandBy) او د لاسرسي نقطه دواړه کنټرولرونو سره مستقیم اړیکه لري.

یو بې سیم کنټرولر فعال دی، او بل، په ترتیب سره، بیک اپ دی. که فعال کنټرولر ناکام شي، د بیک اپ کنټرولر په غاړه اخلي او حالت یې فعال ته بدلوي. دا کړنلاره پرته له کوم خنډ څخه د مراجعینو لپاره د لاسرسي نقطې او Wi-Fi لپاره ترسره کیږي.

امنیت

دا برخه د امنیت اړخونو په اړه بحث کوي، کوم چې په بې سیم شبکو کې خورا مهم مسله ده. د حل امنیت د لاندې ځانګړتیاو پراساس ارزول کیږي:

• د غوښتنلیک پیژندنه؛
• د جریان تعقیب؛
• د کوډ شوي ترافیک تحلیل؛
• د نفوذ کشف او مخنیوی؛
• د تصدیق معنی؛
• د پیرودونکي وسیلې محافظت وسیلې.

د غوښتنلیک پیژندنه

په تصدۍ او صنعتي Wi-Fi بازار کې د مختلف محصولاتو ترمینځ ، پدې کې توپیر شتون لري چې محصولات د غوښتنلیک لخوا ترافیک پیژني څومره ښه. د مختلف تولید کونکو محصولات ممکن د غوښتنلیکونو مختلف شمیر وپیژني. په هرصورت، ډیری غوښتنلیکونه چې رقابتي حلونه د پیژندنې لپاره د امکان تر حده لیست کوي، په حقیقت کې ویب پاڼې دي، نه ځانګړي غوښتنلیکونه.

د غوښتنلیک پیژندنې یو بل په زړه پورې ځانګړتیا شتون لري: حلونه د پیژندنې دقت کې خورا توپیر لري.

د ترسره شوي ټولو ازموینو په پام کې نیولو سره، موږ کولی شو په مسؤلیت سره ووایو چې د سیسکو Wi-Fi-6 حل په خورا دقت سره د غوښتنلیک پیژندنه ترسره کوي: جابر، Netflix، Dropbox، YouTube او نور مشهور غوښتنلیکونه، او همدارنګه د ویب خدماتو، په سمه توګه پیژندل شوي. د سیسکو حلونه کولی شي د DPI (ژور پاکټ تفتیش) په کارولو سره د ډیټا پاکټونو کې ژور ډوب کړي.

د ترافیک جریان تعقیب

بله ازموینه ترسره شوه ترڅو وګوري چې ایا سیسټم کولی شي په سمه توګه د معلوماتو جریان تعقیب او راپور کړي (لکه د لوی فایل حرکتونه). د دې ازموینې لپاره، د 6,5 میګابایټ فایل د فایل لیږد پروتوکول (FTP) په کارولو سره په شبکه کې لیږل شوی.

د سیسکو حل په بشپړ ډول دندې ته رسیدلی و او د دې توان درلود چې دا ترافیک تعقیب کړي د NetFlow او د دې هارډویر وړتیاو څخه مننه. ټرافیک کشف شوی او سمدلاسه د ډیټا لیږدول شوي دقیق مقدار سره پیژندل شوی.

کوډ شوی ترافیک تحلیل

د کارونکي ډیټا ترافیک په زیاتیدونکي توګه کوډ شوی. دا د دې لپاره ترسره کیږي چې دا د برید کونکو لخوا تعقیب یا مداخلې څخه خوندي شي. مګر په ورته وخت کې، هیکرز په زیاتیدونکي توګه د خپل مالویر پټولو لپاره د کوډ کولو څخه کار اخلي او نور مشکوک عملیات ترسره کوي لکه مین-ان-دی-میډل (MiTM) یا د کیليګګ بریدونه.

ډیری سوداګرۍ د دوی ځینې کوډ شوي ټرافیک د لومړي ځل لپاره د اور وژنې یا د مداخلې مخنیوي سیسټمونو په کارولو سره د کوډ کولو له لارې معاینه کوي. مګر دا پروسه ډیر وخت نیسي او په ټوله کې د شبکې فعالیت ته ګټه نه رسوي. برسېره پردې، یوځل چې کوډ شوی وي، دا ډاټا د سترګو سترګو ته زیان رسوي.

د سیسکو کتلست 9800 لړۍ کنټرولر په بریالیتوب سره د نورو وسیلو لخوا د کوډ شوي ترافیک تحلیل کولو ستونزه حل کوي. حل د کوډ شوي ترافیک تحلیل (ETA) په نوم یادیږي. ETA یوه ټیکنالوژي ده چې اوس مهال په رقابتي حلونو کې هیڅ انلاګونه نلري او کوم چې په کوډ شوي ټرافیک کې مالویر کشف کوي پرته له دې چې د کوډ کولو اړتیا ولري. ETA د IOS-XE اصلي ځانګړتیا ده چې په کې د NetFlow وده کول شامل دي او په کوډ شوي ټرافیک کې پټ شوي ناوړه ترافیک نمونې پیژندلو لپاره پرمختللي چلند الګوریتمونه کاروي.

ETA پیغامونه نه ډیکریټ کوي، مګر د کوډ شوي ټرافیک جریان میټاډاټا پروفایلونه راټولوي - د پیکټ اندازه، د پاکټونو ترمنځ د وخت وقفې، او نور ډیر څه. میټاډاټا بیا سیسکو سټیل واچ ته د NetFlow v9 ریکارډونو کې صادریږي.

د سټیلټ واچ کلیدي دنده په دوامداره توګه د ترافیک څارنه ده ، په بیله بیا د نورمال شبکې فعالیت اساس رامینځته کول. د ETA لخوا دې ته لیږل شوي د کوډ شوي سټریم میټاډاټا په کارولو سره ، سټیلټ واچ د چلند ترافیکي اختلالاتو پیژندلو لپاره د څو پوړونو ماشین زده کړې پلي کوي چې ممکن شکمن پیښې په ګوته کړي.

تیر کال، سیسکو د Miercom سره ښکیل شو ترڅو په خپلواکه توګه د خپل سیسکو کوډ شوي ټرافیک تحلیل حل ارزونه وکړي. د دې ارزونې په جریان کې، Miercom په جلا توګه پیژندل شوي او نامعلوم ګواښونه (ویروسونه، Trojans، ransomware) په لوی ETA او غیر ETA شبکو کې په کوډ شوي او نه کوډ شوي ترافیک کې د ګواښونو پیژندلو لپاره لیږلي.

د ازموینې لپاره، ناوړه کوډ په دواړو شبکو کې پیل شوی و. په دواړو حالتونو کې، مشکوک فعالیت په تدریجي ډول کشف شو. د ETA شبکې په پیل کې ګواښونه د غیر ETA شبکې په پرتله 36٪ ګړندي وموندل. په ورته وخت کې، لکه څنګه چې کار پرمختګ وکړ، د ETA شبکه کې د کشف تولید زیاتوالی پیل شو. د پایلې په توګه، د څو ساعتونو کار وروسته، دوه پر دریمه برخه فعال ګواښونه په بریالیتوب سره په ETA شبکه کې کشف شول، چې د غیر ETA شبکې په پرتله دوه چنده دي.

د ETA فعالیت د سټیل واچ سره ښه مدغم شوی. ګواښونه د شدت له مخې درجه بندي شوي او د تفصيلي معلوماتو سره ښودل شوي، او همدارنګه د درملنې اختیارونه یوځل چې تایید شوي. پایله - ETA کار کوي!

د نفوذ کشف او مخنیوی

سیسکو اوس یو بل مؤثره امنیتي وسیله لري - د سیسکو پرمختللی بې سیم مداخلې مخنیوي سیسټم (aWIPS): د بېسیم شبکې ته د ګواښونو کشف او مخنیوي لپاره میکانیزم. د AWIPS حل د کنټرولرانو، لاسرسي ځایونو او د سیسکو DNA مرکز مدیریت سافټویر په کچه کار کوي. د ګواښ کشف، خبرتیا، او مخنیوی د شبکې ټرافيکي تحلیل، د شبکې وسیله او د شبکې ټوپولوژي معلومات، د لاسلیک پر بنسټ تخنیکونه، او د بې نظمۍ کشف کول خورا دقیق او د مخنیوي وړ بېسیم ګواښونو وړاندې کولو لپاره ترکیب کوي.

ستاسو د شبکې زیربنا کې د AWIPS په بشپړ ډول مدغم کول ، تاسو کولی شئ په دوامداره توګه په دواړو تارونو او بې سیم شبکو کې د بې سیم ترافیک څارنه وکړئ او د ډیری سرچینو څخه د احتمالي بریدونو په اتوماتيک ډول تحلیل کولو لپاره وکاروئ ترڅو خورا پراخه کشف او مخنیوی ممکن چمتو کړئ.

د تصدیق معنی

اوس مهال، د کلاسیک تصدیق کولو وسیلو سربیره، د سیسکو کتلست 9800 لړۍ حلونه د WPA3 ملاتړ کوي. WPA3 د WPA وروستۍ نسخه ده، کوم چې د پروتوکولونو او ټیکنالوژیو مجموعه ده چې د Wi-Fi شبکو لپاره تصدیق او کوډ کول چمتو کوي.

WPA3 د برابرۍ یوځل تصدیق (SAE) کاروي ترڅو کاروونکو ته د دریمې ډلې لخوا د پټنوم اټکل کولو هڅو پروړاندې قوي محافظت چمتو کړي. کله چې یو پیرودونکی د لاسرسي نقطې سره وصل شي، دا د SAE تبادله ترسره کوي. که بریالی وي، هر یو به د کریپټوګرافیک پلوه قوي کیلي رامینځته کړي چې له هغې څخه به د سیشن کیلي اخیستل کیږي، او بیا به دوی د تایید حالت ته ننوځي. پیرودونکي او د لاسرسي نقطه بیا کولی شي هرځل چې د سیشن کیلي رامینځته کولو ته اړتیا ولري د لاس اخیستنې حالت ته ننوځي. دا طریقه د مخکینۍ محرمیت څخه کار اخلي، په کوم کې چې برید کوونکی کولی شي یوه کیلي مات کړي، مګر نورې ټولې کیلي نه.

دا دی، SAE په داسې ډول ډیزاین شوی چې یو برید کونکی د ټرافیک مخه نیسي د پټنوم اټکل کولو لپاره یوازې یوه هڅه لري مخکې لدې چې مداخله شوې ډاټا بې ګټې شي. د اوږدې پاسورډ ریکوری تنظیم کولو لپاره ، تاسو به د لاسرسي نقطې ته فزیکي لاسرسي ته اړتیا ولرئ.

د پیرودونکي وسیله محافظت

د سیسکو کتلست 9800 لړۍ بې سیم حلونه اوس مهال د سیسکو امبریلا WLAN له لارې د پیرودونکي لومړني محافظت ب featureه چمتو کوي ، د کلاوډ میشته شبکې امنیت خدمت چې د DNS کچه کې د پیژندل شوي او راپورته کیدونکي ګواښونو اتوماتیک کشف سره کار کوي.

د Cisco Umbrella WLAN د پیرودونکي وسایل د انټرنیټ سره خوندي پیوستون چمتو کوي. دا د مینځپانګې فلټر کولو له لارې ترلاسه کیږي ، دا د تصدۍ پالیسۍ سره سم په انټرنیټ کې سرچینو ته د لاسرسي بندولو سره. پدې توګه ، په انټرنیټ کې د پیرودونکي وسیلې د مالویر ، ransomware ، او فشینګ څخه خوندي دي. د پالیسۍ پلي کول د 60 دوامداره تازه شوي مینځپانګو کټګوریو پراساس دي.

اتومات

د نن ورځې بې سیم شبکې خورا ډیر انعطاف منونکي او پیچلي دي، نو د بېسیم کنټرولرونو څخه د معلوماتو ترتیب او ترلاسه کولو دودیز میتودونه کافي ندي. د شبکې مدیران او د معلوماتو امنیت مسلکیان د اتوماتیک او تحلیلونو لپاره وسیلو ته اړتیا لري، د بې سیم پلورونکي هڅوي چې دا ډول وسایل وړاندې کړي.

د دې ستونزو حل کولو لپاره ، د سیسکو کتلست 9800 لړۍ بې سیم کنټرولرونه ، د دودیز API سره ، د YANG (یو بل بل راتلونکي نسل) ډیټا ماډلینګ ژبې سره د RESTCONF / NETCONF شبکې ترتیب کولو پروتوکول لپاره ملاتړ چمتو کوي.

NETCONF د XML پراساس پروتوکول دی چې غوښتنلیکونه کولی شي د معلوماتو پوښتنې کولو لپاره وکاروي او د شبکې وسیلو ترتیب بدل کړي لکه د بې سیم کنټرولرونه.

د دې میتودونو سربیره ، د سیسکو کتلست 9800 لړۍ کنټرولر د NetFlow او sFlow پروتوکولونو په کارولو سره د معلوماتو جریان ډیټا نیول ، بیرته ترلاسه کولو او تحلیل کولو وړتیا چمتو کوي.

د امنیت او ترافیک ماډلینګ لپاره ، د ځانګړي جریان تعقیب کولو وړتیا ارزښتناکه وسیله ده. د دې ستونزې د حل لپاره، د sFlow پروتوکول پلي شوی، کوم چې تاسو ته اجازه درکوي له هر سو څخه دوه پاکټونه ونیسئ. په هرصورت، ځینې وختونه دا ممکن د جریان تحلیل او کافي مطالعې او ارزونې لپاره کافي نه وي. له همدې امله ، یو بدیل NetFlow دی ، د سیسکو لخوا پلي شوی ، کوم چې تاسو ته اجازه درکوي 100٪ ټول پاکټونه د راتلونکي تحلیل لپاره په ټاکل شوي جریان کې راټول او صادر کړئ.

بله ب featureه ، په هرصورت ، یوازې د کنټرولرانو هارډویر پلي کولو کې شتون لري ، کوم چې تاسو ته اجازه درکوي د سیسکو کتلست 9800 لړۍ کنټرولرونو کې د بې سیم شبکې عملیات اتومات کړئ ، د کارولو لپاره د اضافې په توګه د پایتون ژبې لپاره جوړ شوی ملاتړ دی. سکریپټ په مستقیم ډول پخپله د بې سیم کنټرولر کې.

په نهایت کې، د سیسکو کتلست 9800 لړۍ کنټرولر د څارنې او مدیریت عملیاتو لپاره د ثابت SNMP نسخه 1، 2، او 3 پروتوکول ملاتړ کوي.

پدې توګه ، د اتومات کولو شرایطو کې ، د سیسکو کتلست 9800 لړۍ حلونه په بشپړ ډول د عصري سوداګرۍ اړتیاوې پوره کوي ، دواړه نوي او ځانګړي وړاندیز کوي ، په بیله بیا د هرې اندازې او پیچلتیا بې سیم شبکې کې د اتومات عملیاتو او تحلیلونو لپاره د وخت ازموینې وسیلې.

پایلې

د سیسکو کتلست 9800 لړۍ کنټرولرونو پراساس حلونو کې ، سیسکو د لوړ شتون ، امنیت او اتومات کټګوریو کې عالي پایلې ښودلې.

حل په بشپړ ډول د ټولو لوړ شتون اړتیاوې پوره کوي لکه د غیر پلان شوي پیښو په جریان کې د فرعي دوهم ناکامي او د ټاکل شوي پیښو لپاره د صفر ځنډ وخت.

د سیسکو کتلست 9800 لړۍ کنټرولرونه هراړخیز امنیت چمتو کوي چې د غوښتنلیک پیژندنې او کنټرول لپاره ژور پاکټ تفتیش چمتو کوي ، د ډیټا جریانونو کې بشپړ لید ، او په کوډ شوي ترافیک کې د پټو ګواښونو پیژندنه ، په بیله بیا د پیرودونکي وسیلو لپاره پرمختللي تصدیق او امنیت میکانیزمونه.

د اتوماتیک او تحلیلونو لپاره، د سیسکو کتلست 9800 لړۍ د مشهور معیاري ماډلونو په کارولو سره پیاوړي وړتیاوې وړاندې کوي: YANG، NETCONF، RESTCONF، دودیز APIs، او د پایتون سکریپټ جوړ شوي.

په دې توګه، سیسکو یو ځل بیا د نړۍ د شبکې د حلونو مخکښ جوړونکي په توګه خپل دریځ تاییدوي، د وخت سره سم ساتل او د عصري سوداګرۍ ټولې ننګونې په پام کې نیولو سره.

د Catalyst switch family په اړه د نورو معلوماتو لپاره، لیدنه وکړئ سایټ سیسکو.

سرچینه: www.habr.com

په 2019 کې، مشورتي شرکت Miercom د Cisco Catalyst 6 لړۍ د Wi-Fi 9800 کنټرولرونو خپلواکه تخنیکي ارزونه ترسره کړه، د دې مطالعې لپاره، د سیسکو Wi-Fi 6 کنټرولرونو او د لاسرسي نقطو څخه د ازموینې بنچ راټول شوی و، او تخنیکي حل یې و. په لاندې کټګوریو کې ارزول شوي:

• شتون
• امنیت؛
• اتوماتیک.

د مطالعې پایلې لاندې ښودل شوي. د 2019 راهیسې ، د سیسکو کتلست 9800 لړۍ کنټرولرونو فعالیت د پام وړ ښه شوی - دا ټکي هم پدې مقاله کې منعکس شوي.

تاسو کولی شئ د Wi-Fi 6 ټیکنالوژۍ نورو ګټو په اړه ولولئ ، د پلي کولو مثالونه او د غوښتنلیک ساحې دلته.

د حل لنډیز

د Wi-Fi 6 کنټرولر د سیسکو کتلست 9800 لړۍ

د سیسکو کتلست 9800 لړۍ بې سیم کنټرولرونه، د IOS-XE عملیاتي سیسټم پراساس (د سیسکو سویچونو او راوټرونو لپاره هم کارول کیږي) په مختلفو اختیارونو کې شتون لري.

د 9800-80 کنټرولر زوړ ماډل تر 80 Gbps پورې د بې سیمه شبکې له لارې ملاتړ کوي. یو 9800-80 کنټرولر تر 6000 پورې د لاسرسي نقطو او تر 64 بې سیم پیرودونکو پورې ملاتړ کوي.

د منځنۍ کچې ماډل، د 9800-40 کنټرولر، د 40 Gbps تروپوټ پورې، تر 2000 پورې د لاسرسي نقطو او تر 32 بې سیم مراجعینو پورې ملاتړ کوي.

د دې ماډلونو سربیره ، رقابتي تحلیل کې د 9800-CL بې سیم کنټرولر هم شامل و (CL د کلاوډ لپاره ولاړ دی). 9800-CL د VMWare ESXI او KVM هایپروایسرونو کې په مجازی چاپیریال کې چلیږي ، او د دې فعالیت د کنټرولر مجازی ماشین لپاره وقف شوي هارډویر سرچینو پورې اړه لري. په خپل اعظمي ترتیب کې، د سیسکو 9800-CL کنټرولر، د زاړه ماډل 9800-80 په څیر، تر 6000 لاسرسي نقطو او تر 64 بې سیم پیرودونکو پورې د توزیع کولو ملاتړ کوي.

کله چې د کنټرولرانو سره څیړنه ترسره کول، د Cisco Aironet AP 4800 لړۍ د لاسرسي نقطې کارول شوي، د 2,4 او 5 GHz په فریکونسیو کې د عملیاتو ملاتړ کول په متحرک ډول د دوه ګوني 5-GHz حالت ته د بدلولو وړتیا سره.

د ازموینې موقف

د ازموینې د یوې برخې په توګه ، یو سټینډ د دوه سیسکو کتلست 9800-CL بې سیم کنټرولرونو څخه راټول شوی و چې په کلستر کې فعالیت کوي او د سیسکو ایرونیټ AP 4800 لړۍ لاسرسي نقطو کې.

د ډیل او ایپل لپټاپونه، او همدارنګه د Apple iPhone سمارټ فون، د پیرودونکي وسیلو په توګه کارول شوي.

د لاسرسي ازموینه

شتون د سیسټم یا خدماتو ته د لاسرسي او کارولو لپاره د کاروونکو وړتیا په توګه تعریف شوی. لوړ شتون د ځینې پیښو څخه خپلواک سیسټم یا خدمت ته دوامداره لاسرسي معنی لري.

لوړ شتون په څلورو سناریوګانو کې ازمول شوی و، لومړۍ درې سناریوګانې د وړاندوینې وړ یا ټاکل شوي پیښې دي چې د سوداګرۍ ساعتونو په جریان کې یا وروسته پیښ کیدی شي. پنځمه سناریو یوه کلاسیک ناکامي ده، کوم چې یوه غیر متوقع پیښه ده.

د سناریو توضیحات:

• د خطا اصلاح - د سیسټم مایکرو تازه کول (بګ فکس یا امنیت پیچ)، کوم چې تاسو ته اجازه درکوي د سیسټم سافټویر بشپړ تازه کولو پرته یوه ځانګړې تېروتنه یا زیانمنتیا حل کړئ؛
• فعال تازه کول - د فعال تازه معلوماتو په نصبولو سره د سیسټم اوسني فعالیت اضافه کول یا پراخول؛
• بشپړ تازه کول - د کنټرولر سافټویر عکس تازه کړئ؛
• د لاسرسي نقطې اضافه کول - د بې سیم کنټرول سافټویر بیا تنظیم کولو یا تازه کولو اړتیا پرته بې سیم شبکې ته د نوي لاسرسي نقطې ماډل اضافه کول؛
• ناکامي - د بې سیمه کنټرولر ناکامي.

د کیګونو او زیانونو حل کول

ډیری وختونه ، د ډیری رقابتي حلونو سره ، پیچ کول د بې سیم کنټرولر سیسټم بشپړ سافټویر تازه کولو ته اړتیا لري ، کوم چې د غیر پلان شوي ځنډ وخت پایله کولی شي. د سیسکو حل په حالت کې، پیچ کول پرته له دې چې محصول ودروي ترسره کیږي. پیچونه په هره برخه کې نصب کیدی شي پداسې حال کې چې د بې سیم زیربنا کار ته دوام ورکوي.

پخپله کړنلاره خورا ساده ده. د پیچ ​​فایل د سیسکو بې سیم کنټرولرونو څخه د بوټسټریپ فولډر ته کاپي شوی ، او عملیات بیا د GUI یا کمانډ لاین له لارې تایید کیږي. سربیره پردې ، تاسو کولی شئ د GUI یا کمانډ لاین له لارې فکس بیرته او لرې کړئ ، پرته له دې چې د سیسټم عملیات مداخله وکړي.

فعال تازه کول

فعال سافټویر تازه معلومات د نوو ځانګړتیاوو د فعالولو لپاره پلي کیږي. یو له دې پرمختګونو څخه د غوښتنلیک لاسلیک ډیټابیس تازه کول دي. دا کڅوړه د سیسکو کنټرولرونو کې د ازموینې په توګه نصب شوې. لکه د پیچونو په څیر ، د فیچر تازه معلومات پرته له کوم ځنډ یا سیسټم مداخلې پلي کیږي ، نصب شوي یا لرې کیږي.

بشپړ تازه

په اوس وخت کې، د کنټرولر سافټویر عکس بشپړ تازه کول د فعال تازه کولو په څیر ترسره کیږي، دا د وخت څخه پرته. په هرصورت، دا خصوصیت یوازې په کلستر ترتیب کې شتون لري کله چې له یو څخه ډیر کنټرولر شتون ولري. یو بشپړ تازه کول په ترتیب سره ترسره کیږي: لومړی په یو کنټرولر کې ، بیا په دوهم کې.

د نوي لاسرسي نقطې ماډل اضافه کول

د نوي لاسرسي نقطو سره وصل کول ، کوم چې دمخه د کنټرولر سافټویر عکس سره کارول شوي ندي ، د بې سیم شبکې سره یو عام عملیات دی ، په ځانګړي توګه په لویو شبکو (هوایی ډګرونو ، هوټلونو ، فابریکو). ډیری وختونه د سیالي حلونو کې ، دا عملیات د سیسټم سافټویر تازه کولو یا کنټرولرونو ریبوټ کولو ته اړتیا لري.

کله چې د سیسکو کتلست 6 لړۍ کنټرولرونو کلستر ته د نوي Wi-Fi 9800 لاسرسي نقطې وصل کړئ ، هیڅ ډول ستونزې نه لیدل کیږي. کنټرولر ته د نویو ټکو نښلول د کنټرولر سافټویر تازه کولو پرته ترسره کیږي ، او دا پروسه ریبوټ ته اړتیا نلري ، پدې توګه په هیڅ ډول د بې سیم شبکه اغیزه نه کوي.

د کنټرول ناکامي

د ازموینې چاپیریال دوه Wi-Fi 6 کنټرولرونه کاروي (فعال/StandBy) او د لاسرسي نقطه دواړه کنټرولرونو سره مستقیم اړیکه لري.

یو بې سیم کنټرولر فعال دی، او بل، په ترتیب سره، بیک اپ دی. که فعال کنټرولر ناکام شي، د بیک اپ کنټرولر په غاړه اخلي او حالت یې فعال ته بدلوي. دا کړنلاره پرته له کوم خنډ څخه د مراجعینو لپاره د لاسرسي نقطې او Wi-Fi لپاره ترسره کیږي.

امنیت

دا برخه د امنیت اړخونو په اړه بحث کوي، کوم چې په بې سیم شبکو کې خورا مهم مسله ده. د حل امنیت د لاندې ځانګړتیاو پراساس ارزول کیږي:

• د غوښتنلیک پیژندنه؛
• د جریان تعقیب؛
• د کوډ شوي ترافیک تحلیل؛
• د نفوذ کشف او مخنیوی؛
• د تصدیق معنی؛
• د پیرودونکي وسیلې محافظت وسیلې.

د غوښتنلیک پیژندنه

په تصدۍ او صنعتي Wi-Fi بازار کې د مختلف محصولاتو ترمینځ ، پدې کې توپیر شتون لري چې محصولات د غوښتنلیک لخوا ترافیک پیژني څومره ښه. د مختلف تولید کونکو محصولات ممکن د غوښتنلیکونو مختلف شمیر وپیژني. په هرصورت، ډیری غوښتنلیکونه چې رقابتي حلونه د پیژندنې لپاره د امکان تر حده لیست کوي، په حقیقت کې ویب پاڼې دي، نه ځانګړي غوښتنلیکونه.

د غوښتنلیک پیژندنې یو بل په زړه پورې ځانګړتیا شتون لري: حلونه د پیژندنې دقت کې خورا توپیر لري.

د ترسره شوي ټولو ازموینو په پام کې نیولو سره، موږ کولی شو په مسؤلیت سره ووایو چې د سیسکو Wi-Fi-6 حل په خورا دقت سره د غوښتنلیک پیژندنه ترسره کوي: جابر، Netflix، Dropbox، YouTube او نور مشهور غوښتنلیکونه، او همدارنګه د ویب خدماتو، په سمه توګه پیژندل شوي. د سیسکو حلونه کولی شي د DPI (ژور پاکټ تفتیش) په کارولو سره د ډیټا پاکټونو کې ژور ډوب کړي.

د ترافیک جریان تعقیب

بله ازموینه ترسره شوه ترڅو وګوري چې ایا سیسټم کولی شي په سمه توګه د معلوماتو جریان تعقیب او راپور کړي (لکه د لوی فایل حرکتونه). د دې ازموینې لپاره، د 6,5 میګابایټ فایل د فایل لیږد پروتوکول (FTP) په کارولو سره په شبکه کې لیږل شوی.

د سیسکو حل په بشپړ ډول دندې ته رسیدلی و او د دې توان درلود چې دا ترافیک تعقیب کړي د NetFlow او د دې هارډویر وړتیاو څخه مننه. ټرافیک کشف شوی او سمدلاسه د ډیټا لیږدول شوي دقیق مقدار سره پیژندل شوی.

کوډ شوی ترافیک تحلیل

د کارونکي ډیټا ترافیک په زیاتیدونکي توګه کوډ شوی. دا د دې لپاره ترسره کیږي چې دا د برید کونکو لخوا تعقیب یا مداخلې څخه خوندي شي. مګر په ورته وخت کې، هیکرز په زیاتیدونکي توګه د خپل مالویر پټولو لپاره د کوډ کولو څخه کار اخلي او نور مشکوک عملیات ترسره کوي لکه مین-ان-دی-میډل (MiTM) یا د کیليګګ بریدونه.

ډیری سوداګرۍ د دوی ځینې کوډ شوي ټرافیک د لومړي ځل لپاره د اور وژنې یا د مداخلې مخنیوي سیسټمونو په کارولو سره د کوډ کولو له لارې معاینه کوي. مګر دا پروسه ډیر وخت نیسي او په ټوله کې د شبکې فعالیت ته ګټه نه رسوي. برسېره پردې، یوځل چې کوډ شوی وي، دا ډاټا د سترګو سترګو ته زیان رسوي.

د سیسکو کتلست 9800 لړۍ کنټرولر په بریالیتوب سره د نورو وسیلو لخوا د کوډ شوي ترافیک تحلیل کولو ستونزه حل کوي. حل د کوډ شوي ترافیک تحلیل (ETA) په نوم یادیږي. ETA یوه ټیکنالوژي ده چې اوس مهال په رقابتي حلونو کې هیڅ انلاګونه نلري او کوم چې په کوډ شوي ټرافیک کې مالویر کشف کوي پرته له دې چې د کوډ کولو اړتیا ولري. ETA د IOS-XE اصلي ځانګړتیا ده چې په کې د NetFlow وده کول شامل دي او په کوډ شوي ټرافیک کې پټ شوي ناوړه ترافیک نمونې پیژندلو لپاره پرمختللي چلند الګوریتمونه کاروي.

ETA پیغامونه نه ډیکریټ کوي، مګر د کوډ شوي ټرافیک جریان میټاډاټا پروفایلونه راټولوي - د پیکټ اندازه، د پاکټونو ترمنځ د وخت وقفې، او نور ډیر څه. میټاډاټا بیا سیسکو سټیل واچ ته د NetFlow v9 ریکارډونو کې صادریږي.

د سټیلټ واچ کلیدي دنده په دوامداره توګه د ترافیک څارنه ده ، په بیله بیا د نورمال شبکې فعالیت اساس رامینځته کول. د ETA لخوا دې ته لیږل شوي د کوډ شوي سټریم میټاډاټا په کارولو سره ، سټیلټ واچ د چلند ترافیکي اختلالاتو پیژندلو لپاره د څو پوړونو ماشین زده کړې پلي کوي چې ممکن شکمن پیښې په ګوته کړي.

تیر کال، سیسکو د Miercom سره ښکیل شو ترڅو په خپلواکه توګه د خپل سیسکو کوډ شوي ټرافیک تحلیل حل ارزونه وکړي. د دې ارزونې په جریان کې، Miercom په جلا توګه پیژندل شوي او نامعلوم ګواښونه (ویروسونه، Trojans، ransomware) په لوی ETA او غیر ETA شبکو کې په کوډ شوي او نه کوډ شوي ترافیک کې د ګواښونو پیژندلو لپاره لیږلي.

د ازموینې لپاره، ناوړه کوډ په دواړو شبکو کې پیل شوی و. په دواړو حالتونو کې، مشکوک فعالیت په تدریجي ډول کشف شو. د ETA شبکې په پیل کې ګواښونه د غیر ETA شبکې په پرتله 36٪ ګړندي وموندل. په ورته وخت کې، لکه څنګه چې کار پرمختګ وکړ، د ETA شبکه کې د کشف تولید زیاتوالی پیل شو. د پایلې په توګه، د څو ساعتونو کار وروسته، دوه پر دریمه برخه فعال ګواښونه په بریالیتوب سره په ETA شبکه کې کشف شول، چې د غیر ETA شبکې په پرتله دوه چنده دي.

د ETA فعالیت د سټیل واچ سره ښه مدغم شوی. ګواښونه د شدت له مخې درجه بندي شوي او د تفصيلي معلوماتو سره ښودل شوي، او همدارنګه د درملنې اختیارونه یوځل چې تایید شوي. پایله - ETA کار کوي!

د نفوذ کشف او مخنیوی

سیسکو اوس یو بل مؤثره امنیتي وسیله لري - د سیسکو پرمختللی بې سیم مداخلې مخنیوي سیسټم (aWIPS): د بېسیم شبکې ته د ګواښونو کشف او مخنیوي لپاره میکانیزم. د AWIPS حل د کنټرولرانو، لاسرسي ځایونو او د سیسکو DNA مرکز مدیریت سافټویر په کچه کار کوي. د ګواښ کشف، خبرتیا، او مخنیوی د شبکې ټرافيکي تحلیل، د شبکې وسیله او د شبکې ټوپولوژي معلومات، د لاسلیک پر بنسټ تخنیکونه، او د بې نظمۍ کشف کول خورا دقیق او د مخنیوي وړ بېسیم ګواښونو وړاندې کولو لپاره ترکیب کوي.

ستاسو د شبکې زیربنا کې د AWIPS په بشپړ ډول مدغم کول ، تاسو کولی شئ په دوامداره توګه په دواړو تارونو او بې سیم شبکو کې د بې سیم ترافیک څارنه وکړئ او د ډیری سرچینو څخه د احتمالي بریدونو په اتوماتيک ډول تحلیل کولو لپاره وکاروئ ترڅو خورا پراخه کشف او مخنیوی ممکن چمتو کړئ.

د تصدیق معنی

اوس مهال، د کلاسیک تصدیق کولو وسیلو سربیره، د سیسکو کتلست 9800 لړۍ حلونه د WPA3 ملاتړ کوي. WPA3 د WPA وروستۍ نسخه ده، کوم چې د پروتوکولونو او ټیکنالوژیو مجموعه ده چې د Wi-Fi شبکو لپاره تصدیق او کوډ کول چمتو کوي.

WPA3 د برابرۍ یوځل تصدیق (SAE) کاروي ترڅو کاروونکو ته د دریمې ډلې لخوا د پټنوم اټکل کولو هڅو پروړاندې قوي محافظت چمتو کړي. کله چې یو پیرودونکی د لاسرسي نقطې سره وصل شي، دا د SAE تبادله ترسره کوي. که بریالی وي، هر یو به د کریپټوګرافیک پلوه قوي کیلي رامینځته کړي چې له هغې څخه به د سیشن کیلي اخیستل کیږي، او بیا به دوی د تایید حالت ته ننوځي. پیرودونکي او د لاسرسي نقطه بیا کولی شي هرځل چې د سیشن کیلي رامینځته کولو ته اړتیا ولري د لاس اخیستنې حالت ته ننوځي. دا طریقه د مخکینۍ محرمیت څخه کار اخلي، په کوم کې چې برید کوونکی کولی شي یوه کیلي مات کړي، مګر نورې ټولې کیلي نه.

دا دی، SAE په داسې ډول ډیزاین شوی چې یو برید کونکی د ټرافیک مخه نیسي د پټنوم اټکل کولو لپاره یوازې یوه هڅه لري مخکې لدې چې مداخله شوې ډاټا بې ګټې شي. د اوږدې پاسورډ ریکوری تنظیم کولو لپاره ، تاسو به د لاسرسي نقطې ته فزیکي لاسرسي ته اړتیا ولرئ.

د پیرودونکي وسیله محافظت

د سیسکو کتلست 9800 لړۍ بې سیم حلونه اوس مهال د سیسکو امبریلا WLAN له لارې د پیرودونکي لومړني محافظت ب featureه چمتو کوي ، د کلاوډ میشته شبکې امنیت خدمت چې د DNS کچه کې د پیژندل شوي او راپورته کیدونکي ګواښونو اتوماتیک کشف سره کار کوي.

د Cisco Umbrella WLAN د پیرودونکي وسایل د انټرنیټ سره خوندي پیوستون چمتو کوي. دا د مینځپانګې فلټر کولو له لارې ترلاسه کیږي ، دا د تصدۍ پالیسۍ سره سم په انټرنیټ کې سرچینو ته د لاسرسي بندولو سره. پدې توګه ، په انټرنیټ کې د پیرودونکي وسیلې د مالویر ، ransomware ، او فشینګ څخه خوندي دي. د پالیسۍ پلي کول د 60 دوامداره تازه شوي مینځپانګو کټګوریو پراساس دي.

اتومات

د نن ورځې بې سیم شبکې خورا ډیر انعطاف منونکي او پیچلي دي، نو د بېسیم کنټرولرونو څخه د معلوماتو ترتیب او ترلاسه کولو دودیز میتودونه کافي ندي. د شبکې مدیران او د معلوماتو امنیت مسلکیان د اتوماتیک او تحلیلونو لپاره وسیلو ته اړتیا لري، د بې سیم پلورونکي هڅوي چې دا ډول وسایل وړاندې کړي.

د دې ستونزو حل کولو لپاره ، د سیسکو کتلست 9800 لړۍ بې سیم کنټرولرونه ، د دودیز API سره ، د YANG (یو بل بل راتلونکي نسل) ډیټا ماډلینګ ژبې سره د RESTCONF / NETCONF شبکې ترتیب کولو پروتوکول لپاره ملاتړ چمتو کوي.

NETCONF د XML پراساس پروتوکول دی چې غوښتنلیکونه کولی شي د معلوماتو پوښتنې کولو لپاره وکاروي او د شبکې وسیلو ترتیب بدل کړي لکه د بې سیم کنټرولرونه.

د دې میتودونو سربیره ، د سیسکو کتلست 9800 لړۍ کنټرولر د NetFlow او sFlow پروتوکولونو په کارولو سره د معلوماتو جریان ډیټا نیول ، بیرته ترلاسه کولو او تحلیل کولو وړتیا چمتو کوي.

د امنیت او ترافیک ماډلینګ لپاره ، د ځانګړي جریان تعقیب کولو وړتیا ارزښتناکه وسیله ده. د دې ستونزې د حل لپاره، د sFlow پروتوکول پلي شوی، کوم چې تاسو ته اجازه درکوي له هر سو څخه دوه پاکټونه ونیسئ. په هرصورت، ځینې وختونه دا ممکن د جریان تحلیل او کافي مطالعې او ارزونې لپاره کافي نه وي. له همدې امله ، یو بدیل NetFlow دی ، د سیسکو لخوا پلي شوی ، کوم چې تاسو ته اجازه درکوي 100٪ ټول پاکټونه د راتلونکي تحلیل لپاره په ټاکل شوي جریان کې راټول او صادر کړئ.

بله ب featureه ، په هرصورت ، یوازې د کنټرولرانو هارډویر پلي کولو کې شتون لري ، کوم چې تاسو ته اجازه درکوي د سیسکو کتلست 9800 لړۍ کنټرولرونو کې د بې سیم شبکې عملیات اتومات کړئ ، د کارولو لپاره د اضافې په توګه د پایتون ژبې لپاره جوړ شوی ملاتړ دی. سکریپټ په مستقیم ډول پخپله د بې سیم کنټرولر کې.

په نهایت کې، د سیسکو کتلست 9800 لړۍ کنټرولر د څارنې او مدیریت عملیاتو لپاره د ثابت SNMP نسخه 1، 2، او 3 پروتوکول ملاتړ کوي.

پدې توګه ، د اتومات کولو شرایطو کې ، د سیسکو کتلست 9800 لړۍ حلونه په بشپړ ډول د عصري سوداګرۍ اړتیاوې پوره کوي ، دواړه نوي او ځانګړي وړاندیز کوي ، په بیله بیا د هرې اندازې او پیچلتیا بې سیم شبکې کې د اتومات عملیاتو او تحلیلونو لپاره د وخت ازموینې وسیلې.

پایلې

د سیسکو کتلست 9800 لړۍ کنټرولرونو پراساس حلونو کې ، سیسکو د لوړ شتون ، امنیت او اتومات کټګوریو کې عالي پایلې ښودلې.

حل په بشپړ ډول د ټولو لوړ شتون اړتیاوې پوره کوي لکه د غیر پلان شوي پیښو په جریان کې د فرعي دوهم ناکامي او د ټاکل شوي پیښو لپاره د صفر ځنډ وخت.

د سیسکو کتلست 9800 لړۍ کنټرولرونه هراړخیز امنیت چمتو کوي چې د غوښتنلیک پیژندنې او کنټرول لپاره ژور پاکټ تفتیش چمتو کوي ، د ډیټا جریانونو کې بشپړ لید ، او په کوډ شوي ترافیک کې د پټو ګواښونو پیژندنه ، په بیله بیا د پیرودونکي وسیلو لپاره پرمختللي تصدیق او امنیت میکانیزمونه.

د اتوماتیک او تحلیلونو لپاره، د سیسکو کتلست 9800 لړۍ د مشهور معیاري ماډلونو په کارولو سره پیاوړي وړتیاوې وړاندې کوي: YANG، NETCONF، RESTCONF، دودیز APIs، او د پایتون سکریپټ جوړ شوي.

په دې توګه، سیسکو یو ځل بیا د نړۍ د شبکې د حلونو مخکښ جوړونکي په توګه خپل دریځ تاییدوي، د وخت سره سم ساتل او د عصري سوداګرۍ ټولې ننګونې په پام کې نیولو سره.

د Catalyst switch family په اړه د نورو معلوماتو لپاره، لیدنه وکړئ سایټ سیسکو.

سرچینه: www.habr.com