Upami Anjeun gaduh controller a, euweuh masalah: kumaha gampang ngajaga jaringan nirkabel Anjeun

Dina taun 2019, perusahaan konsultan Miercom ngalaksanakeun penilaian téknologi mandiri tina pengendali Wi-Fi 6 tina séri Cisco Catalyst 9800. Pikeun ulikan ieu, bangku tés dirakit tina pengendali sareng titik aksés Cisco Wi-Fi 6, sareng solusi téknis nyaéta ditaksir dina kategori di handap ieu:

• Kasadiaan;
• Kasalametan;
• Otomatisasi.

Hasil panalungtikan dipidangkeun ieu di handap. Kusabab 2019, pungsionalitas pengendali séri Cisco Catalyst 9800 parantos ningkat sacara signifikan - titik ieu ogé ditingali dina tulisan ieu.

Anjeun tiasa maca ngeunaan kaunggulan séjén tina téknologi Wi-Fi 6, conto palaksanaan sareng daérah aplikasi di dieu.

Ihtisar Solusi

Wi-Fi 6 controller Cisco katalis 9800 runtuyan

Cisco katalis 9800 Series Wireless Controllers, dumasar kana sistem operasi ios-XE (ogé dipaké pikeun switch jeung routers Cisco), sadia dina rupa-rupa pilihan.

Modél heubeul controller 9800-80 ngarojong throughput jaringan nirkabel nepi ka 80 Gbps. Hiji 9800-80 controller ngarojong nepi ka 6000 titik aksés jeung nepi ka 64 klien nirkabel.

Modél pertengahan rentang, controller 9800-40, ngarojong nepi ka 40 Gbps throughput, nepi ka 2000 titik aksés jeung nepi ka 32 klien nirkabel.

Salian model ieu, analisis kalapa ogé kaasup controller nirkabel 9800-CL (CL nangtung pikeun Cloud). 9800-CL dijalankeun dina lingkungan maya on VMWare ESXI na KVM hypervisors, sarta kinerja na gumantung kana sumberdaya dedicated hardware pikeun mesin virtual controller. Dina konfigurasi maksimum na, Cisco 9800-CL controller, kawas model heubeul 9800-80, ngarojong scalability nepi ka 6000 titik aksés sarta nepi ka 64 klien nirkabel.

Nalika ngalakonan panalungtikan kalawan Controllers dipaké Cisco Aironet AP 4800 titik aksés runtuyan, ngarojong operasi dina frékuénsi 2,4 jeung 5 GHz kalawan kamampuhan pikeun dinamis pindah ka modeu dual 5-GHz.

bangku tés

Salaku bagian tina nguji, ngadeg hiji dirakit ti dua Cisco katalis 9800-CL controller nirkabel operasi dina klaster sarta Cisco Aironet AP 4800 titik aksés runtuyan.

Laptop ti Dell sareng Apple, ogé smartphone Apple iPhone, dianggo salaku alat klien.

Tés Aksesibilitas

Kasadiaan dihartikeun salaku kamampuh pamaké pikeun ngakses jeung ngagunakeun sistem atawa jasa. Kasadiaan anu luhur nunjukkeun aksés kontinyu kana sistem atanapi jasa, henteu gumantung kana kajadian anu tangtu.

Kasadiaan anu luhur diuji dina opat skenario, tilu skénario anu munggaran tiasa diprediksi atanapi dijadwalkeun kajadian anu tiasa lumangsung salami atanapi saatos jam kerja. Skenario kalima nyaéta kagagalan klasik, anu mangrupikeun kajadian anu teu kaduga.

Katerangan skenario:

• Koreksi kasalahan - apdet mikro sistem (bugfix atanapi patch kaamanan), anu ngamungkinkeun anjeun ngalereskeun kasalahan atanapi kerentanan khusus tanpa pembaruan lengkep tina parangkat lunak sistem;
• Pembaruan fungsional - nambihan atanapi ngalegaan pungsionalitas sistem ayeuna ku cara masang apdet fungsional;
• Apdet lengkep - ngapdet gambar software controller;
• Nambahkeun titik aksés - nambahkeun modél titik aksés anyar kana jaringan nirkabel tanpa kudu reconfigure atawa ngamutahirkeun software controller nirkabel;
• Gagal—gagalna pangontrol nirkabel.

Ngalereskeun bug sareng kerentanan

Mindeng, kalawan loba solusi kalapa, patching merlukeun apdet software lengkep sistem controller nirkabel, nu bisa ngakibatkeun downtime unplanned. Dina kasus solusi Cisco, patching dipigawé tanpa stopping produk. Patches bisa dipasang dina salah sahiji komponén bari infrastruktur nirkabel terus beroperasi.

Prosedur sorangan cukup basajan. File patch disalin kana folder bootstrap on salah sahiji controller nirkabel Cisco, sarta operasi ieu lajeng dikonfirmasi via GUI atawa garis paréntah. Salaku tambahan, anjeun ogé tiasa ngabatalkeun sareng ngahapus perbaikan via GUI atanapi garis paréntah, ogé tanpa ngaganggu operasi sistem.

Pembaruan fungsional

Pembaruan parangkat lunak fungsional diterapkeun pikeun ngaktipkeun fitur anyar. Salah sahiji perbaikan ieu nyaéta ngamutahirkeun database signature aplikasi. pakét ieu dipasang dina controller Cisco salaku test a. Sapertos sareng patch, apdet fitur diterapkeun, dipasang, atanapi dipiceun tanpa aya waktos downtime atanapi gangguan sistem.

update pinuh

Di momen, update pinuh gambar software controller dipigawé dina cara nu sarua salaku update fungsi, nyaeta, tanpa downtime. Sanajan kitu, fitur ieu ngan sadia dina konfigurasi klaster lamun aya leuwih ti hiji controller. Pembaruan lengkep dilaksanakeun sacara berurutan: kahiji dina hiji pengontrol, teras kadua.

Nambahkeun model titik aksés anyar

Nyambungkeun titik aksés anyar, nu teu saméméhna geus dioperasikeun ku gambar software controller dipaké, ka jaringan nirkabel mangrupakeun operasi cukup umum, utamana dina jaringan badag (bandara, hotél, pabrik). Rada sering dina solusi pesaing, operasi ieu merlukeun ngamutahirkeun software sistem atawa rebooting controller.

Nalika nyambungkeun Wi-Fi anyar 6 titik aksés ka klaster Cisco katalis 9800 Controllers runtuyan, euweuh masalah sapertos anu dititénan. Nyambungkeun titik anyar ka controller dilumangsungkeun tanpa ngamutahirkeun software controller, sarta prosés ieu teu merlukeun reboot a, sahingga teu mangaruhan jaringan nirkabel sagala cara.

Kagagalan controller

Lingkungan tés nganggo dua pangendali Wi-Fi 6 (Aktif/StandBy) sareng titik aksés gaduh sambungan langsung ka duanana pangendali.

Hiji controller nirkabel aktip, sarta séjén, masing-masing, cadangan. Lamun controller aktip gagal, controller cadangan nyokot alih tur status na robah jadi aktip. Prosedur ieu lumangsung tanpa gangguan pikeun titik aksés jeung Wi-Fi pikeun klien.

kasalametan

Bagian ieu ngabahas aspék kaamanan, anu mangrupikeun masalah anu penting pisan dina jaringan nirkabel. Kaamanan solusi ditaksir dumasar kana ciri-ciri ieu:

• Pangakuan aplikasi;
• Ngalacak aliran;
• Analisis lalulintas énkripsi;
• deteksi intrusion jeung pencegahan;
• Auténtikasi hartina;
• Parabot panyalindungan alat klien.

Pangenal aplikasi

Diantara rupa-rupa produk di perusahaan sareng pasar Wi-Fi industri, aya bédana kumaha produkna ngaidentipikasi lalu lintas ku aplikasi. Produk ti pabrik anu béda tiasa ngidentipikasi jumlah aplikasi anu béda. Tapi, seueur aplikasi anu daptar solusi kompetitif sabisa-bisa pikeun idéntifikasi, nyatana, situs wéb, sanés aplikasi unik.

Aya fitur metot séjén tina pangakuan aplikasi: solusi greatly rupa-rupa akurasi idéntifikasi.

Ningali sadaya tés anu dilakukeun, urang tiasa tanggung jawab nyatakeun yén solusi Wi-Fi-6 Cisco ngalaksanakeun pangakuan aplikasi sacara akurat: Jabber, Netflix, Dropbox, YouTube sareng aplikasi populér sanésna, ogé jasa wéb, diidentifikasi sacara akurat. Solusi Cisco ogé tiasa teuleum langkung jero kana pakét data nganggo DPI (Deep Packet Inspection).

Nyukcruk aliran lalulintas

Tés anu sanés dilakukeun pikeun ningali naha sistem éta akurat tiasa ngalacak sareng ngalaporkeun aliran data (sapertos gerakan file anu ageung). Pikeun nguji ieu, file 6,5 megabyte dikirim ngaliwatan jaringan ngagunakeun File Transfer Protocol (FTP).

Solusi Cisco éta pinuh nepi ka tugas jeung éta bisa lagu lalulintas ieu berkat NetFlow sarta kamampuhan hardware na. Lalu lintas dideteksi sareng diidentifikasi langsung kalayan jumlah pasti data anu ditransfer.

Analisis lalulintas énkripsi

Lalu lintas data pangguna beuki énkripsi. Hal ieu dilakukeun pikeun ngajagi tina dilacak atanapi dicegat ku panyerang. Tapi dina waktos anu sareng, hacker beuki ngagunakeun enkripsi pikeun nyumputkeun malware maranéhanana sarta ngalakonan operasi dubious lianna kayaning Man-in-the-Middle (MiTM) atawa serangan keylogging.

Kaseueuran usaha mariksa sababaraha lalu lintas énkripsi ku cara ngadekrip heula nganggo firewall atanapi sistem pencegahan intrusion. Tapi prosés ieu butuh loba waktu jeung teu nguntungkeun kinerja jaringan sakabéhna. Sajaba ti éta, sakali decrypted, data ieu jadi rentan ka prying panon.

Cisco katalis 9800 Controllers Series hasil ngajawab masalah analisa lalulintas énkripsi ku cara nu lian. Solusina disebut Énkripsi Lalu Lintas Analytics (ETA). ETA mangrupikeun téknologi anu ayeuna teu aya analog dina solusi kompetitif sareng anu ngadeteksi malware dina lalu lintas énkripsi tanpa kedah ngadekrip éta. ETA mangrupikeun fitur inti IOS-XE anu kalebet Enhanced NetFlow sareng nganggo algoritma paripolah canggih pikeun ngaidentipikasi pola lalu lintas jahat anu nyumput dina lalu lintas énkripsi.

ETA henteu ngadekrip pesen, tapi ngumpulkeun profil metadata aliran lalu lintas énkripsi - ukuran pakét, interval waktu antara pakét, sareng seueur deui. Metadata teras diékspor dina rékaman NetFlow v9 ka Cisco Stealthwatch.

Fungsi konci Stealthwatch nyaéta pikeun terus-terusan ngawas lalu lintas, ogé nyiptakeun garis dasar kagiatan jaringan normal. Ngagunakeun metadata aliran énkripsi dikirim ka dinya ku ETA, Stealthwatch nerapkeun mesin learning multi-lapisan pikeun ngaidentipikasi anomali lalulintas behavioral nu bisa nunjukkeun kajadian curiga.

Taun ka tukang, Cisco kalibet Miercom ka bebas evaluate solusi Cisco Énkripsi Traffic Analytics na. Salila assessment ieu, Miercom misah ngirimkeun ancaman dipikawanoh tur kanyahoan (virus, Trojans, ransomware) dina lalulintas énkripsi sarta unencrypted sakuliah ETA badag sarta jaringan non-ETA pikeun ngaidentipikasi ancaman.

Pikeun nguji, kode jahat diluncurkeun dina kadua jaringan. Dina duanana kasus, aktivitas curiga ieu laun kapanggih. Jaringan ETA mimitina ngadeteksi ancaman 36% langkung gancang tibatan jaringan non-ETA. Dina waktos anu sami, nalika karyana ningkat, produktivitas deteksi dina jaringan ETA mimiti ningkat. Hasilna, saatos sababaraha jam damel, dua per tilu ancaman aktif suksés dideteksi dina jaringan ETA, anu dua kali langkung seueur dina jaringan non-ETA.

fungsionalitas ETA ieu ogé terpadu kalayan Stealthwatch. Ancaman direngking ku severity sareng ditampilkeun kalayan inpormasi lengkep, ogé pilihan remediasi saatos dikonfirmasi. Kacindekan - ETA jalan!

Deteksi sareng pencegahan intrusi

Cisco ayeuna gaduh alat kaamanan anu sanés - Cisco Advanced Wireless Intrusion Prevention System (aWIPS): mékanisme pikeun ngadeteksi sareng nyegah ancaman kana jaringan nirkabel. Solusi aWIPS beroperasi dina tingkat controller, titik aksés jeung software manajemén Cisco DNA Center. Deteksi, ngageter, sareng pencegahan ancaman ngagabungkeun analisa lalu lintas jaringan, alat jaringan sareng inpormasi topologi jaringan, téknik dumasar tanda tangan, sareng deteksi anomali pikeun nganteurkeun ancaman nirkabel anu akurat pisan sareng tiasa dicegah.

Sapinuhna ngahijikeun aWIPS kana infrastruktur jaringan anjeun, anjeun tiasa terus-terusan ngawas lalu lintas nirkabel dina jaringan kabel sareng nirkabel sareng nganggo éta pikeun otomatis nganalisis poténsi serangan tina sababaraha sumber pikeun nyayogikeun deteksi sareng pencegahan anu paling komprehensif.

Auténtikasi hartina

Di momen, sajaba parabot auténtikasi Palasik, Cisco Catalyst 9800 runtuyan solusi ngarojong WPA3. WPA3 mangrupikeun vérsi panganyarna tina WPA, nyaéta sakumpulan protokol sareng téknologi anu nyayogikeun auténtikasi sareng enkripsi pikeun jaringan Wi-Fi.

WPA3 ngagunakeun Simultaneous Authentication of Equals (SAE) pikeun nyadiakeun panyalindungan pangkuatna pikeun pamaké tina usaha nebak sandi ku pihak katilu. Nalika klien nyambung ka titik aksés, éta ngalakukeun bursa SAE. Upami suksés, masing-masing bakal nyiptakeun konci anu kuat sacara kriptografis ti mana konci sési bakal diturunkeun, teras aranjeunna bakal asup kana kaayaan konfirmasi. Klién sareng titik aksés teras tiasa ngalebetkeun kaayaan sasalaman unggal waktos konci sési kedah didamel. Métodena ngagunakeun rusiah maju, dimana panyerang tiasa rengat hiji konci, tapi henteu sadayana konci anu sanés.

Nyaéta, SAE dirarancang ku cara yén panyerang ngahalangan lalu lintas ngan ukur gaduh hiji usaha pikeun nebak kecap konci sateuacan data anu disadap janten henteu aya gunana. Pikeun ngatur pamulihan sandi anu panjang, anjeun peryogi aksés fisik kana titik aksés.

Perlindungan alat klien

Cisco Catalyst 9800 Series solusi nirkabel ayeuna nyadiakeun fitur panyalindungan customer primér ngaliwatan Cisco Umbrella WLAN, layanan kaamanan jaringan dumasar-awan nu ngoperasikeun dina tingkat DNS kalawan deteksi otomatis duanana ancaman dipikawanoh tur munculna.

Cisco Umbrella WLAN nyadiakeun alat klien kalawan sambungan aman ka Internét. Ieu kahontal ngaliwatan nyaring eusi, nyaeta, ku blocking aksés ka sumber dina Internet luyu jeung kawijakan perusahaan. Ku kituna, alat klien dina Internét ditangtayungan tina malware, ransomware, jeung phishing. Penegak kawijakan dumasar kana 60 kategori eusi anu terus diropéa.

Automation

Jaringan nirkabel ayeuna langkung fleksibel sareng kompleks, janten metode tradisional pikeun ngonpigurasikeun sareng nyandak inpormasi ti pangendali nirkabel henteu cekap. Pangurus jaringan sareng profésional kaamanan inpormasi ngabutuhkeun alat pikeun otomatisasi sareng analitik, nyababkeun padagang nirkabel nawiskeun alat sapertos kitu.

Pikeun ngajawab masalah ieu, Cisco Catalyst 9800 runtuyan controller nirkabel, babarengan jeung API tradisional, nyadiakeun rojongan pikeun RESTCONF / NETCONF protokol konfigurasi jaringan jeung nu (Acan sejen Generasi salajengna) basa modeling data.

NETCONF mangrupikeun protokol berbasis XML anu tiasa dianggo ku aplikasi pikeun naroskeun inpormasi sareng ngarobih konfigurasi alat jaringan sapertos pangendali nirkabel.

Salian métode ieu, Cisco Catalyst 9800 Series Controllers nyadiakeun kamampuhan pikeun nangkep, meunangkeun, jeung nganalisis data aliran informasi ngagunakeun NetFlow na sFlow protokol.

Pikeun modél kaamanan sareng lalu lintas, kamampuan pikeun ngalacak aliran khusus mangrupikeun alat anu berharga. Pikeun ngajawab masalah ieu, protokol sFlow dilaksanakeun, nu ngidinan Anjeun pikeun nangkep dua pakét kaluar unggal ratus. Sanajan kitu, kadang ieu bisa jadi teu cukup pikeun nganalisis tur adequately ulikan sarta evaluate aliran. Ku alatan éta, alternatif NetFlow, dilaksanakeun ku Cisco, nu ngidinan Anjeun pikeun 100% ngumpulkeun jeung ngekspor sakabeh pakét dina aliran dieusian pikeun analisis saterusna.

fitur séjén, kumaha oge, ngan sadia dina palaksanaan hardware controller, nu ngidinan Anjeun pikeun ngajadikeun otomatis operasi jaringan nirkabel dina Cisco Catalyst 9800 controller runtuyan, diwangun-di rojongan pikeun basa Python salaku tambihan pikeun pamakéan. Aksara langsung dina controller nirkabel sorangan.

Tungtungna, Cisco katalis 9800 Series Controllers ngarojong versi SNMP kabuktian 1, 2, jeung 3 protokol pikeun monitoring sarta operasi manajemén.

Ku kituna, dina watesan automation, Cisco Catalyst 9800 Series solusi pinuh minuhan sarat bisnis modern, nawarkeun duanana anyar jeung unik, kitu ogé parabot-dites waktos keur operasi otomatis tur analytics dina jaringan nirkabel tina sagala ukuran jeung pajeulitna.

kacindekan

Dina solusi dumasar kana Cisco katalis 9800 Series Controllers, Cisco nunjukkeun hasil unggulan dina kategori kasadiaan tinggi, kaamanan sarta automation.

Solusina sapinuhna nyumponan sadaya syarat kasadiaan anu luhur sapertos failover sub-detik salami kajadian anu teu direncanakeun sareng nol downtime pikeun acara anu dijadwalkeun.

Cisco Catalyst 9800 Series Controllers nyadiakeun kaamanan komprehensif nu nyadiakeun inspeksi pakét jero pikeun pangakuan jeung kontrol aplikasi, pisibilitas lengkep kana aliran data, sarta idéntifikasi ancaman disumputkeun dina lalulintas énkripsi, kitu ogé auténtikasi canggih tur mékanisme kaamanan pikeun alat klien.

Pikeun otomatisasi sareng analitik, Cisco Catalyst 9800 Series nawiskeun kamampuan anu kuat ngagunakeun modél standar populér: YANG, NETCONF, RESTCONF, API tradisional, sareng skrip Python anu diwangun.

Ku kituna, Cisco sakali deui negeskeun statusna salaku produsén ngarah tina solusi jejaring, tetep nepi ka jaman jeung nyokot akun sagala tantangan bisnis modern.

Kanggo inpo nu langkung lengkep ihwal kulawarga switch Catalyst, isukan website cisco.

sumber: www.habr.com

Dina taun 2019, perusahaan konsultan Miercom ngalaksanakeun penilaian téknologi mandiri tina pengendali Wi-Fi 6 tina séri Cisco Catalyst 9800. Pikeun ulikan ieu, bangku tés dirakit tina pengendali sareng titik aksés Cisco Wi-Fi 6, sareng solusi téknis nyaéta ditaksir dina kategori di handap ieu:

• Kasadiaan;
• Kasalametan;
• Otomatisasi.

Hasil panalungtikan dipidangkeun ieu di handap. Kusabab 2019, pungsionalitas pengendali séri Cisco Catalyst 9800 parantos ningkat sacara signifikan - titik ieu ogé ditingali dina tulisan ieu.

Anjeun tiasa maca ngeunaan kaunggulan séjén tina téknologi Wi-Fi 6, conto palaksanaan sareng daérah aplikasi di dieu.

Ihtisar Solusi

Wi-Fi 6 controller Cisco katalis 9800 runtuyan

Cisco katalis 9800 Series Wireless Controllers, dumasar kana sistem operasi ios-XE (ogé dipaké pikeun switch jeung routers Cisco), sadia dina rupa-rupa pilihan.

Modél heubeul controller 9800-80 ngarojong throughput jaringan nirkabel nepi ka 80 Gbps. Hiji 9800-80 controller ngarojong nepi ka 6000 titik aksés jeung nepi ka 64 klien nirkabel.

Modél pertengahan rentang, controller 9800-40, ngarojong nepi ka 40 Gbps throughput, nepi ka 2000 titik aksés jeung nepi ka 32 klien nirkabel.

Salian model ieu, analisis kalapa ogé kaasup controller nirkabel 9800-CL (CL nangtung pikeun Cloud). 9800-CL dijalankeun dina lingkungan maya on VMWare ESXI na KVM hypervisors, sarta kinerja na gumantung kana sumberdaya dedicated hardware pikeun mesin virtual controller. Dina konfigurasi maksimum na, Cisco 9800-CL controller, kawas model heubeul 9800-80, ngarojong scalability nepi ka 6000 titik aksés sarta nepi ka 64 klien nirkabel.

Nalika ngalakonan panalungtikan kalawan Controllers dipaké Cisco Aironet AP 4800 titik aksés runtuyan, ngarojong operasi dina frékuénsi 2,4 jeung 5 GHz kalawan kamampuhan pikeun dinamis pindah ka modeu dual 5-GHz.

bangku tés

Salaku bagian tina nguji, ngadeg hiji dirakit ti dua Cisco katalis 9800-CL controller nirkabel operasi dina klaster sarta Cisco Aironet AP 4800 titik aksés runtuyan.

Laptop ti Dell sareng Apple, ogé smartphone Apple iPhone, dianggo salaku alat klien.

Tés Aksesibilitas

Kasadiaan dihartikeun salaku kamampuh pamaké pikeun ngakses jeung ngagunakeun sistem atawa jasa. Kasadiaan anu luhur nunjukkeun aksés kontinyu kana sistem atanapi jasa, henteu gumantung kana kajadian anu tangtu.

Kasadiaan anu luhur diuji dina opat skenario, tilu skénario anu munggaran tiasa diprediksi atanapi dijadwalkeun kajadian anu tiasa lumangsung salami atanapi saatos jam kerja. Skenario kalima nyaéta kagagalan klasik, anu mangrupikeun kajadian anu teu kaduga.

Katerangan skenario:

• Koreksi kasalahan - apdet mikro sistem (bugfix atanapi patch kaamanan), anu ngamungkinkeun anjeun ngalereskeun kasalahan atanapi kerentanan khusus tanpa pembaruan lengkep tina parangkat lunak sistem;
• Pembaruan fungsional - nambihan atanapi ngalegaan pungsionalitas sistem ayeuna ku cara masang apdet fungsional;
• Apdet lengkep - ngapdet gambar software controller;
• Nambahkeun titik aksés - nambahkeun modél titik aksés anyar kana jaringan nirkabel tanpa kudu reconfigure atawa ngamutahirkeun software controller nirkabel;
• Gagal—gagalna pangontrol nirkabel.

Ngalereskeun bug sareng kerentanan

Mindeng, kalawan loba solusi kalapa, patching merlukeun apdet software lengkep sistem controller nirkabel, nu bisa ngakibatkeun downtime unplanned. Dina kasus solusi Cisco, patching dipigawé tanpa stopping produk. Patches bisa dipasang dina salah sahiji komponén bari infrastruktur nirkabel terus beroperasi.

Prosedur sorangan cukup basajan. File patch disalin kana folder bootstrap on salah sahiji controller nirkabel Cisco, sarta operasi ieu lajeng dikonfirmasi via GUI atawa garis paréntah. Salaku tambahan, anjeun ogé tiasa ngabatalkeun sareng ngahapus perbaikan via GUI atanapi garis paréntah, ogé tanpa ngaganggu operasi sistem.

Pembaruan fungsional

Pembaruan parangkat lunak fungsional diterapkeun pikeun ngaktipkeun fitur anyar. Salah sahiji perbaikan ieu nyaéta ngamutahirkeun database signature aplikasi. pakét ieu dipasang dina controller Cisco salaku test a. Sapertos sareng patch, apdet fitur diterapkeun, dipasang, atanapi dipiceun tanpa aya waktos downtime atanapi gangguan sistem.

update pinuh

Di momen, update pinuh gambar software controller dipigawé dina cara nu sarua salaku update fungsi, nyaeta, tanpa downtime. Sanajan kitu, fitur ieu ngan sadia dina konfigurasi klaster lamun aya leuwih ti hiji controller. Pembaruan lengkep dilaksanakeun sacara berurutan: kahiji dina hiji pengontrol, teras kadua.

Nambahkeun model titik aksés anyar

Nyambungkeun titik aksés anyar, nu teu saméméhna geus dioperasikeun ku gambar software controller dipaké, ka jaringan nirkabel mangrupakeun operasi cukup umum, utamana dina jaringan badag (bandara, hotél, pabrik). Rada sering dina solusi pesaing, operasi ieu merlukeun ngamutahirkeun software sistem atawa rebooting controller.

Nalika nyambungkeun Wi-Fi anyar 6 titik aksés ka klaster Cisco katalis 9800 Controllers runtuyan, euweuh masalah sapertos anu dititénan. Nyambungkeun titik anyar ka controller dilumangsungkeun tanpa ngamutahirkeun software controller, sarta prosés ieu teu merlukeun reboot a, sahingga teu mangaruhan jaringan nirkabel sagala cara.

Kagagalan controller

Lingkungan tés nganggo dua pangendali Wi-Fi 6 (Aktif/StandBy) sareng titik aksés gaduh sambungan langsung ka duanana pangendali.

Hiji controller nirkabel aktip, sarta séjén, masing-masing, cadangan. Lamun controller aktip gagal, controller cadangan nyokot alih tur status na robah jadi aktip. Prosedur ieu lumangsung tanpa gangguan pikeun titik aksés jeung Wi-Fi pikeun klien.

kasalametan

Bagian ieu ngabahas aspék kaamanan, anu mangrupikeun masalah anu penting pisan dina jaringan nirkabel. Kaamanan solusi ditaksir dumasar kana ciri-ciri ieu:

• Pangakuan aplikasi;
• Ngalacak aliran;
• Analisis lalulintas énkripsi;
• deteksi intrusion jeung pencegahan;
• Auténtikasi hartina;
• Parabot panyalindungan alat klien.

Pangenal aplikasi

Diantara rupa-rupa produk di perusahaan sareng pasar Wi-Fi industri, aya bédana kumaha produkna ngaidentipikasi lalu lintas ku aplikasi. Produk ti pabrik anu béda tiasa ngidentipikasi jumlah aplikasi anu béda. Tapi, seueur aplikasi anu daptar solusi kompetitif sabisa-bisa pikeun idéntifikasi, nyatana, situs wéb, sanés aplikasi unik.

Aya fitur metot séjén tina pangakuan aplikasi: solusi greatly rupa-rupa akurasi idéntifikasi.

Ningali sadaya tés anu dilakukeun, urang tiasa tanggung jawab nyatakeun yén solusi Wi-Fi-6 Cisco ngalaksanakeun pangakuan aplikasi sacara akurat: Jabber, Netflix, Dropbox, YouTube sareng aplikasi populér sanésna, ogé jasa wéb, diidentifikasi sacara akurat. Solusi Cisco ogé tiasa teuleum langkung jero kana pakét data nganggo DPI (Deep Packet Inspection).

Nyukcruk aliran lalulintas

Tés anu sanés dilakukeun pikeun ningali naha sistem éta akurat tiasa ngalacak sareng ngalaporkeun aliran data (sapertos gerakan file anu ageung). Pikeun nguji ieu, file 6,5 megabyte dikirim ngaliwatan jaringan ngagunakeun File Transfer Protocol (FTP).

Solusi Cisco éta pinuh nepi ka tugas jeung éta bisa lagu lalulintas ieu berkat NetFlow sarta kamampuhan hardware na. Lalu lintas dideteksi sareng diidentifikasi langsung kalayan jumlah pasti data anu ditransfer.

Analisis lalulintas énkripsi

Lalu lintas data pangguna beuki énkripsi. Hal ieu dilakukeun pikeun ngajagi tina dilacak atanapi dicegat ku panyerang. Tapi dina waktos anu sareng, hacker beuki ngagunakeun enkripsi pikeun nyumputkeun malware maranéhanana sarta ngalakonan operasi dubious lianna kayaning Man-in-the-Middle (MiTM) atawa serangan keylogging.

Kaseueuran usaha mariksa sababaraha lalu lintas énkripsi ku cara ngadekrip heula nganggo firewall atanapi sistem pencegahan intrusion. Tapi prosés ieu butuh loba waktu jeung teu nguntungkeun kinerja jaringan sakabéhna. Sajaba ti éta, sakali decrypted, data ieu jadi rentan ka prying panon.

Cisco katalis 9800 Controllers Series hasil ngajawab masalah analisa lalulintas énkripsi ku cara nu lian. Solusina disebut Énkripsi Lalu Lintas Analytics (ETA). ETA mangrupikeun téknologi anu ayeuna teu aya analog dina solusi kompetitif sareng anu ngadeteksi malware dina lalu lintas énkripsi tanpa kedah ngadekrip éta. ETA mangrupikeun fitur inti IOS-XE anu kalebet Enhanced NetFlow sareng nganggo algoritma paripolah canggih pikeun ngaidentipikasi pola lalu lintas jahat anu nyumput dina lalu lintas énkripsi.

ETA henteu ngadekrip pesen, tapi ngumpulkeun profil metadata aliran lalu lintas énkripsi - ukuran pakét, interval waktu antara pakét, sareng seueur deui. Metadata teras diékspor dina rékaman NetFlow v9 ka Cisco Stealthwatch.

Fungsi konci Stealthwatch nyaéta pikeun terus-terusan ngawas lalu lintas, ogé nyiptakeun garis dasar kagiatan jaringan normal. Ngagunakeun metadata aliran énkripsi dikirim ka dinya ku ETA, Stealthwatch nerapkeun mesin learning multi-lapisan pikeun ngaidentipikasi anomali lalulintas behavioral nu bisa nunjukkeun kajadian curiga.

Taun ka tukang, Cisco kalibet Miercom ka bebas evaluate solusi Cisco Énkripsi Traffic Analytics na. Salila assessment ieu, Miercom misah ngirimkeun ancaman dipikawanoh tur kanyahoan (virus, Trojans, ransomware) dina lalulintas énkripsi sarta unencrypted sakuliah ETA badag sarta jaringan non-ETA pikeun ngaidentipikasi ancaman.

Pikeun nguji, kode jahat diluncurkeun dina kadua jaringan. Dina duanana kasus, aktivitas curiga ieu laun kapanggih. Jaringan ETA mimitina ngadeteksi ancaman 36% langkung gancang tibatan jaringan non-ETA. Dina waktos anu sami, nalika karyana ningkat, produktivitas deteksi dina jaringan ETA mimiti ningkat. Hasilna, saatos sababaraha jam damel, dua per tilu ancaman aktif suksés dideteksi dina jaringan ETA, anu dua kali langkung seueur dina jaringan non-ETA.

fungsionalitas ETA ieu ogé terpadu kalayan Stealthwatch. Ancaman direngking ku severity sareng ditampilkeun kalayan inpormasi lengkep, ogé pilihan remediasi saatos dikonfirmasi. Kacindekan - ETA jalan!

Deteksi sareng pencegahan intrusi

Cisco ayeuna gaduh alat kaamanan anu sanés - Cisco Advanced Wireless Intrusion Prevention System (aWIPS): mékanisme pikeun ngadeteksi sareng nyegah ancaman kana jaringan nirkabel. Solusi aWIPS beroperasi dina tingkat controller, titik aksés jeung software manajemén Cisco DNA Center. Deteksi, ngageter, sareng pencegahan ancaman ngagabungkeun analisa lalu lintas jaringan, alat jaringan sareng inpormasi topologi jaringan, téknik dumasar tanda tangan, sareng deteksi anomali pikeun nganteurkeun ancaman nirkabel anu akurat pisan sareng tiasa dicegah.

Sapinuhna ngahijikeun aWIPS kana infrastruktur jaringan anjeun, anjeun tiasa terus-terusan ngawas lalu lintas nirkabel dina jaringan kabel sareng nirkabel sareng nganggo éta pikeun otomatis nganalisis poténsi serangan tina sababaraha sumber pikeun nyayogikeun deteksi sareng pencegahan anu paling komprehensif.

Auténtikasi hartina

Di momen, sajaba parabot auténtikasi Palasik, Cisco Catalyst 9800 runtuyan solusi ngarojong WPA3. WPA3 mangrupikeun vérsi panganyarna tina WPA, nyaéta sakumpulan protokol sareng téknologi anu nyayogikeun auténtikasi sareng enkripsi pikeun jaringan Wi-Fi.

WPA3 ngagunakeun Simultaneous Authentication of Equals (SAE) pikeun nyadiakeun panyalindungan pangkuatna pikeun pamaké tina usaha nebak sandi ku pihak katilu. Nalika klien nyambung ka titik aksés, éta ngalakukeun bursa SAE. Upami suksés, masing-masing bakal nyiptakeun konci anu kuat sacara kriptografis ti mana konci sési bakal diturunkeun, teras aranjeunna bakal asup kana kaayaan konfirmasi. Klién sareng titik aksés teras tiasa ngalebetkeun kaayaan sasalaman unggal waktos konci sési kedah didamel. Métodena ngagunakeun rusiah maju, dimana panyerang tiasa rengat hiji konci, tapi henteu sadayana konci anu sanés.

Nyaéta, SAE dirarancang ku cara yén panyerang ngahalangan lalu lintas ngan ukur gaduh hiji usaha pikeun nebak kecap konci sateuacan data anu disadap janten henteu aya gunana. Pikeun ngatur pamulihan sandi anu panjang, anjeun peryogi aksés fisik kana titik aksés.

Perlindungan alat klien

Cisco Catalyst 9800 Series solusi nirkabel ayeuna nyadiakeun fitur panyalindungan customer primér ngaliwatan Cisco Umbrella WLAN, layanan kaamanan jaringan dumasar-awan nu ngoperasikeun dina tingkat DNS kalawan deteksi otomatis duanana ancaman dipikawanoh tur munculna.

Cisco Umbrella WLAN nyadiakeun alat klien kalawan sambungan aman ka Internét. Ieu kahontal ngaliwatan nyaring eusi, nyaeta, ku blocking aksés ka sumber dina Internet luyu jeung kawijakan perusahaan. Ku kituna, alat klien dina Internét ditangtayungan tina malware, ransomware, jeung phishing. Penegak kawijakan dumasar kana 60 kategori eusi anu terus diropéa.

Automation

Jaringan nirkabel ayeuna langkung fleksibel sareng kompleks, janten metode tradisional pikeun ngonpigurasikeun sareng nyandak inpormasi ti pangendali nirkabel henteu cekap. Pangurus jaringan sareng profésional kaamanan inpormasi ngabutuhkeun alat pikeun otomatisasi sareng analitik, nyababkeun padagang nirkabel nawiskeun alat sapertos kitu.

Pikeun ngajawab masalah ieu, Cisco Catalyst 9800 runtuyan controller nirkabel, babarengan jeung API tradisional, nyadiakeun rojongan pikeun RESTCONF / NETCONF protokol konfigurasi jaringan jeung nu (Acan sejen Generasi salajengna) basa modeling data.

NETCONF mangrupikeun protokol berbasis XML anu tiasa dianggo ku aplikasi pikeun naroskeun inpormasi sareng ngarobih konfigurasi alat jaringan sapertos pangendali nirkabel.

Salian métode ieu, Cisco Catalyst 9800 Series Controllers nyadiakeun kamampuhan pikeun nangkep, meunangkeun, jeung nganalisis data aliran informasi ngagunakeun NetFlow na sFlow protokol.

Pikeun modél kaamanan sareng lalu lintas, kamampuan pikeun ngalacak aliran khusus mangrupikeun alat anu berharga. Pikeun ngajawab masalah ieu, protokol sFlow dilaksanakeun, nu ngidinan Anjeun pikeun nangkep dua pakét kaluar unggal ratus. Sanajan kitu, kadang ieu bisa jadi teu cukup pikeun nganalisis tur adequately ulikan sarta evaluate aliran. Ku alatan éta, alternatif NetFlow, dilaksanakeun ku Cisco, nu ngidinan Anjeun pikeun 100% ngumpulkeun jeung ngekspor sakabeh pakét dina aliran dieusian pikeun analisis saterusna.

fitur séjén, kumaha oge, ngan sadia dina palaksanaan hardware controller, nu ngidinan Anjeun pikeun ngajadikeun otomatis operasi jaringan nirkabel dina Cisco Catalyst 9800 controller runtuyan, diwangun-di rojongan pikeun basa Python salaku tambihan pikeun pamakéan. Aksara langsung dina controller nirkabel sorangan.

Tungtungna, Cisco katalis 9800 Series Controllers ngarojong versi SNMP kabuktian 1, 2, jeung 3 protokol pikeun monitoring sarta operasi manajemén.

Ku kituna, dina watesan automation, Cisco Catalyst 9800 Series solusi pinuh minuhan sarat bisnis modern, nawarkeun duanana anyar jeung unik, kitu ogé parabot-dites waktos keur operasi otomatis tur analytics dina jaringan nirkabel tina sagala ukuran jeung pajeulitna.

kacindekan

Dina solusi dumasar kana Cisco katalis 9800 Series Controllers, Cisco nunjukkeun hasil unggulan dina kategori kasadiaan tinggi, kaamanan sarta automation.

Solusina sapinuhna nyumponan sadaya syarat kasadiaan anu luhur sapertos failover sub-detik salami kajadian anu teu direncanakeun sareng nol downtime pikeun acara anu dijadwalkeun.

Cisco Catalyst 9800 Series Controllers nyadiakeun kaamanan komprehensif nu nyadiakeun inspeksi pakét jero pikeun pangakuan jeung kontrol aplikasi, pisibilitas lengkep kana aliran data, sarta idéntifikasi ancaman disumputkeun dina lalulintas énkripsi, kitu ogé auténtikasi canggih tur mékanisme kaamanan pikeun alat klien.

Pikeun otomatisasi sareng analitik, Cisco Catalyst 9800 Series nawiskeun kamampuan anu kuat ngagunakeun modél standar populér: YANG, NETCONF, RESTCONF, API tradisional, sareng skrip Python anu diwangun.

Ku kituna, Cisco sakali deui negeskeun statusna salaku produsén ngarah tina solusi jejaring, tetep nepi ka jaman jeung nyokot akun sagala tantangan bisnis modern.

Kanggo inpo nu langkung lengkep ihwal kulawarga switch Catalyst, isukan website cisco.

sumber: www.habr.com