Ikiwa una mtawala, hakuna tatizo: jinsi ya kudumisha kwa urahisi mtandao wako wa wireless

Mnamo 2019, kampuni ya ushauri ya Miercom ilifanya tathmini huru ya kiteknolojia ya watawala wa Wi-Fi 6 wa mfululizo wa Cisco Catalyst 9800. Kwa utafiti huu, benchi ya majaribio ilikusanywa kutoka kwa watawala wa Cisco Wi-Fi 6 na pointi za kufikia, na ufumbuzi wa kiufundi ulikuwa. kutathminiwa katika makundi yafuatayo:

• Upatikanaji;
• Usalama;
• Otomatiki.

Matokeo ya utafiti yanaonyeshwa hapa chini. Tangu 2019, utendaji wa vidhibiti vya mfululizo wa Cisco Catalyst 9800 umeboreshwa kwa kiasi kikubwa - pointi hizi pia zinaonyeshwa katika makala hii.

Unaweza kusoma kuhusu faida nyingine za teknolojia ya Wi-Fi 6, mifano ya utekelezaji na maeneo ya maombi hapa.

Muhtasari wa Suluhisho

Vidhibiti vya Wi-Fi 6 vya Cisco Catalyst 9800 mfululizo

Cisco Catalyst 9800 Series Wireless Controllers, kulingana na mfumo wa uendeshaji wa IOS-XE (pia hutumiwa kwa swichi za Cisco na routers), zinapatikana katika chaguzi mbalimbali.

Mfano wa zamani wa mtawala wa 9800-80 inasaidia upitishaji wa mtandao wa wireless hadi 80 Gbps. Kidhibiti kimoja cha 9800-80 kinaweza kutumia hadi vituo 6000 vya ufikiaji na hadi wateja 64 wasiotumia waya.

Muundo wa masafa ya kati, kidhibiti cha 9800-40, kinaweza kutumia hadi Gbps 40, hadi pointi 2000 za kufikia na hadi wateja 32 wasiotumia waya.

Mbali na miundo hii, uchanganuzi wa ushindani pia ulijumuisha kidhibiti kisichotumia waya cha 9800-CL (CL inawakilisha Cloud). 9800-CL huendeshwa katika mazingira ya mtandaoni kwenye VMWare ESXI na viboreshaji vya KVM, na utendakazi wake unategemea nyenzo maalum za maunzi kwa mashine pepe ya kidhibiti. Katika usanidi wake wa juu zaidi, kidhibiti cha Cisco 9800-CL, kama kielelezo cha zamani cha 9800-80, kinaauni uwezo wa kufikia pointi 6000 na hadi wateja 64 wasiotumia waya.

Wakati wa kufanya utafiti na vidhibiti, sehemu za ufikiaji za mfululizo wa Cisco Aironet AP 4800 zilitumika, kusaidia uendeshaji katika masafa ya 2,4 na 5 GHz na uwezo wa kubadili kwa nguvu kwa hali ya 5-GHz mbili.

benchi ya mtihani

Kama sehemu ya jaribio, stendi ilikusanywa kutoka kwa vidhibiti viwili visivyotumia waya vya Cisco Catalyst 9800-CL vinavyofanya kazi katika kundi na sehemu za ufikiaji za mfululizo wa Cisco Aironet AP 4800.

Kompyuta ndogo kutoka kwa Dell na Apple, pamoja na simu mahiri ya Apple iPhone, zilitumika kama vifaa vya mteja.

Jaribio la Ufikivu

Upatikanaji unafafanuliwa kama uwezo wa watumiaji kufikia na kutumia mfumo au huduma. Upatikanaji wa juu unamaanisha ufikiaji endelevu wa mfumo au huduma, bila kujali matukio fulani.

Upatikanaji wa juu ulijaribiwa katika hali nne, matukio matatu ya kwanza yakiwa ya kutabirika au matukio yaliyoratibiwa ambayo yanaweza kutokea wakati au baada ya saa za kazi. Hali ya tano ni kushindwa kwa classical, ambayo ni tukio lisilotabirika.

Maelezo ya matukio:

• Marekebisho ya hitilafu - sasisho ndogo ya mfumo (bugfix au kiraka cha usalama), ambayo inakuwezesha kurekebisha kosa fulani au udhaifu bila sasisho kamili la programu ya mfumo;
• Sasisho la kazi - kuongeza au kupanua utendaji wa sasa wa mfumo kwa kufunga sasisho za kazi;
• Sasisho kamili - sasisha picha ya programu ya mtawala;
• Kuongeza kituo cha kufikia - kuongeza mtindo mpya wa kufikia mtandao wa wireless bila hitaji la kurekebisha au kusasisha programu ya kidhibiti cha wireless;
• Kushindwa-kushindwa kwa kidhibiti kisichotumia waya.

Kurekebisha hitilafu na udhaifu

Mara nyingi, pamoja na ufumbuzi mwingi wa ushindani, kuunganisha kunahitaji sasisho kamili la programu ya mfumo wa mtawala wa wireless, ambayo inaweza kusababisha muda usiopangwa. Katika kesi ya suluhisho la Cisco, patching hufanywa bila kuacha bidhaa. Viraka vinaweza kusakinishwa kwenye kipengele chochote huku miundombinu isiyotumia waya ikiendelea kufanya kazi.

Utaratibu yenyewe ni rahisi sana. Faili ya kiraka inakiliwa kwenye folda ya bootstrap kwenye moja ya vidhibiti vya wireless vya Cisco, na operesheni inathibitishwa kupitia GUI au mstari wa amri. Kwa kuongeza, unaweza pia kufuta na kuondoa kurekebisha kupitia GUI au mstari wa amri, pia bila kukatiza uendeshaji wa mfumo.

Sasisho la kazi

Masasisho ya programu zinazofanya kazi hutumika ili kuwezesha vipengele vipya. Mojawapo ya maboresho haya ni kusasisha hifadhidata ya sahihi ya programu. Kifurushi hiki kilisakinishwa kwenye vidhibiti vya Cisco kama jaribio. Kama vile viraka, masasisho ya vipengele hutumika, kusakinishwa au kuondolewa bila kukatika au kukatizwa kwa mfumo wowote.

Sasisho kamili

Kwa sasa, sasisho kamili la picha ya programu ya mtawala inafanywa kwa njia sawa na sasisho la kazi, yaani, bila kupungua. Hata hivyo, kipengele hiki kinapatikana tu katika usanidi wa nguzo wakati kuna zaidi ya kidhibiti kimoja. Sasisho kamili linafanywa kwa mlolongo: kwanza kwa mtawala mmoja, kisha kwa pili.

Inaongeza muundo mpya wa kituo cha ufikiaji

Kuunganisha pointi mpya za kufikia, ambazo hazijatumiwa hapo awali na picha ya programu ya mtawala iliyotumiwa, kwenye mtandao wa wireless ni operesheni ya kawaida ya kawaida, hasa katika mitandao mikubwa (viwanja vya ndege, hoteli, viwanda). Mara nyingi katika suluhisho za washindani, operesheni hii inahitaji kusasisha programu ya mfumo au kuwasha tena vidhibiti.

Wakati wa kuunganisha vituo vipya vya ufikiaji wa Wi-Fi 6 kwenye kikundi cha vidhibiti vya mfululizo wa Cisco Catalyst 9800, hakuna matatizo kama hayo yanazingatiwa. Kuunganisha pointi mpya kwa mtawala hufanyika bila uppdatering programu ya mtawala, na mchakato huu hauhitaji upya upya, hivyo hauathiri mtandao wa wireless kwa njia yoyote.

Kushindwa kwa kidhibiti

Mazingira ya jaribio hutumia vidhibiti viwili vya Wi-Fi 6 (Inayotumika/InayosimamaBy) na eneo la ufikiaji lina muunganisho wa moja kwa moja kwa vidhibiti vyote viwili.

Kidhibiti kimoja kisichotumia waya kinafanya kazi, na kingine, kwa mtiririko huo, ni chelezo. Ikiwa kidhibiti amilifu kitashindwa, kidhibiti chelezo huchukua nafasi na hali yake itabadilika na kuwa amilifu. Utaratibu huu hutokea bila kukatizwa kwa uhakika wa kufikia na Wi-Fi kwa wateja.

usalama

Sehemu hii inajadili vipengele vya usalama, ambalo ni suala linalosisitiza sana katika mitandao isiyotumia waya. Usalama wa suluhisho hupimwa kulingana na sifa zifuatazo:

• Utambuzi wa maombi;
• Ufuatiliaji wa mtiririko;
• Uchambuzi wa trafiki iliyosimbwa;
• Utambuzi wa kuingilia na kuzuia;
• Uthibitishaji unamaanisha;
• Zana za ulinzi wa kifaa cha mteja.

Utambuzi wa programu

Miongoni mwa aina mbalimbali za bidhaa katika soko la biashara na viwanda la Wi-Fi, kuna tofauti katika jinsi bidhaa zinavyotambua trafiki kwa maombi. Bidhaa kutoka kwa wazalishaji tofauti zinaweza kutambua idadi tofauti ya programu. Hata hivyo, programu nyingi ambazo suluhu shindani zinaorodhesha iwezekanavyo kwa ajili ya utambulisho ni, kwa kweli, tovuti, na si programu za kipekee.

Kuna kipengele kingine cha kuvutia cha utambuzi wa maombi: ufumbuzi hutofautiana sana katika usahihi wa kitambulisho.

Kwa kuzingatia majaribio yote yaliyofanywa, tunaweza kusema kwa uwajibikaji kuwa suluhisho la Cisco la Wi-Fi-6 linafanya utambuzi wa programu kwa usahihi sana: Jabber, Netflix, Dropbox, YouTube na programu zingine maarufu, pamoja na huduma za wavuti, zilitambuliwa kwa usahihi. Suluhu za Cisco pia zinaweza kuingia ndani zaidi kwenye pakiti za data kwa kutumia DPI (Ukaguzi wa Kifurushi cha Kina).

Ufuatiliaji wa mtiririko wa trafiki

Jaribio lingine lilifanyika ili kuona ikiwa mfumo ungeweza kufuatilia na kuripoti mtiririko wa data kwa usahihi (kama vile miondoko mikubwa ya faili). Ili kujaribu hili, faili ya megabaiti 6,5 ilitumwa kwenye mtandao kwa kutumia Itifaki ya Uhawilishaji Faili (FTP).

Suluhisho la Cisco lilikuwa kamili kwa kazi hiyo na liliweza kufuatilia shukrani hii ya trafiki kwa NetFlow na uwezo wake wa vifaa. Trafiki iligunduliwa na kutambuliwa mara moja na kiasi kamili cha data iliyohamishwa.

Uchambuzi wa trafiki uliosimbwa kwa njia fiche

Trafiki ya data ya mtumiaji inazidi kusimbwa. Hii inafanywa ili kuilinda dhidi ya kufuatiliwa au kuingiliwa na washambuliaji. Lakini wakati huo huo, wadukuzi wanazidi kutumia usimbaji fiche ili kuficha programu hasidi na kutekeleza shughuli zingine zenye kutia shaka kama vile Man-in-the-Middle (MiTM) au mashambulizi ya keylogging.

Biashara nyingi hukagua baadhi ya trafiki zao zilizosimbwa kwa njia fiche kwanza kwa kusimbua kwa kutumia ngome au mifumo ya kuzuia uvamizi. Lakini mchakato huu unachukua muda mwingi na haufaidi utendaji wa mtandao kwa ujumla. Kwa kuongeza, mara baada ya kusimbwa, data hii inakuwa hatari kwa macho ya kutazama.

Vidhibiti vya Cisco Catalyst 9800 Series kwa mafanikio kutatua tatizo la kuchambua trafiki iliyosimbwa kwa njia zingine. Suluhisho linaitwa Uchanganuzi wa Trafiki Uliosimbwa (ETA). ETA ni teknolojia ambayo kwa sasa haina analogi katika suluhu shindani na ambayo hutambua programu hasidi katika trafiki iliyosimbwa bila kuhitaji kusimbua. ETA ni kipengele kikuu cha IOS-XE ambacho kinajumuisha NetFlow Iliyoimarishwa na hutumia algoriti za hali ya juu ili kutambua mifumo hasidi ya trafiki inayojificha katika trafiki iliyosimbwa.

ETA haisimbui ujumbe, lakini hukusanya wasifu wa metadata wa mtiririko uliosimbwa wa trafiki - saizi ya pakiti, vipindi vya muda kati ya pakiti, na mengi zaidi. Kisha metadata inasafirishwa katika rekodi za NetFlow v9 hadi Cisco Stealthwatch.

Kazi muhimu ya Stealthwatch ni kufuatilia mara kwa mara trafiki, na pia kuunda msingi wa shughuli za kawaida za mtandao. Kwa kutumia metadata ya mtiririko iliyosimbwa kwa njia fiche iliyotumwa kwayo na ETA, Stealthwatch hutumia mafunzo ya mashine ya tabaka nyingi ili kutambua hitilafu za trafiki ambazo zinaweza kuonyesha matukio ya kutiliwa shaka.

Mwaka jana, Cisco ilishirikisha Miercom ili kutathmini kwa kujitegemea suluhisho lake la Uchanganuzi Uliosimbwa wa Trafiki wa Cisco. Wakati wa tathmini hii, Miercom ilituma kivyake vitisho vinavyojulikana na visivyojulikana (virusi, Trojans, ransomware) katika trafiki iliyosimbwa na ambayo haijasimbwa kwenye mitandao mikubwa ya ETA na isiyo ya ETA ili kutambua vitisho.

Kwa majaribio, msimbo hasidi ulizinduliwa kwenye mitandao yote miwili. Katika visa vyote viwili, shughuli za kutiliwa shaka ziligunduliwa hatua kwa hatua. Mtandao wa ETA awali uligundua vitisho 36% kwa kasi zaidi kuliko mtandao usio wa ETA. Wakati huo huo, kazi ikiendelea, tija ya kugundua katika mtandao wa ETA ilianza kuongezeka. Matokeo yake, baada ya saa kadhaa za kazi, theluthi mbili ya vitisho vilivyotumika viligunduliwa kwa ufanisi katika mtandao wa ETA, ambao ni mara mbili zaidi kuliko mtandao usio wa ETA.

Utendaji wa ETA umeunganishwa vyema na Stealthwatch. Vitisho vinaorodheshwa kulingana na ukali na kuonyeshwa kwa maelezo ya kina, pamoja na chaguzi za kurekebisha mara moja zimethibitishwa. Hitimisho - ETA inafanya kazi!

Utambuzi wa kuingilia na kuzuia

Cisco sasa ina zana nyingine madhubuti ya usalama - Mfumo wa Kina wa Kuzuia Uingiliaji wa Waya wa Cisco (aWIPS): utaratibu wa kugundua na kuzuia vitisho kwa mitandao isiyo na waya. Suluhisho la aWIPS linafanya kazi katika ngazi ya vidhibiti, sehemu za kufikia na programu ya usimamizi wa Kituo cha DNA cha Cisco. Utambuzi, arifa na uzuiaji wa vitisho huchanganya uchanganuzi wa trafiki ya mtandao, habari ya kifaa cha mtandao na topolojia ya mtandao, mbinu zinazozingatia saini, na ugunduzi wa hitilafu ili kutoa vitisho sahihi na vinavyoweza kuzuilika bila waya.

Kuunganisha kikamilifu aWIPS kwenye miundombinu ya mtandao wako, unaweza kuendelea kufuatilia trafiki isiyotumia waya kwenye mitandao ya waya na isiyotumia waya na kuitumia kuchanganua kiotomatiki mashambulizi yanayoweza kutokea kutoka kwa vyanzo vingi ili kutoa ugunduzi na uzuiaji wa kina iwezekanavyo.

Njia za uthibitishaji

Kwa sasa, pamoja na zana za uthibitishaji za kawaida, suluhisho za mfululizo wa Cisco Catalyst 9800 zinaunga mkono WPA3. WPA3 ni toleo la hivi punde la WPA, ambalo ni seti ya itifaki na teknolojia zinazotoa uthibitishaji na usimbaji fiche kwa mitandao ya Wi-Fi.

WPA3 hutumia Uthibitishaji Sambamba wa Sawa (SAE) ili kutoa ulinzi thabiti zaidi kwa watumiaji dhidi ya majaribio ya kubahatisha nenosiri yanayofanywa na wahusika wengine. Wakati mteja anaunganisha kwenye kituo cha kufikia, hufanya kubadilishana kwa SAE. Ikiwa imefanikiwa, kila mmoja wao ataunda ufunguo wenye nguvu wa kriptografia ambayo ufunguo wa kikao utatolewa, na kisha wataingia katika hali ya uthibitisho. Kiteja na eneo la ufikiaji linaweza kisha kuingia hali za kupeana mikono kila wakati ufunguo wa kipindi unahitaji kuzalishwa. Njia hutumia usiri wa mbele, ambayo mshambuliaji anaweza kuvunja ufunguo mmoja, lakini sio funguo nyingine zote.

Hiyo ni, SAE imeundwa kwa njia ambayo mvamizi anayeingilia trafiki ana jaribio moja tu la kukisia nenosiri kabla data iliyozuiliwa haijatumika. Ili kuandaa urejeshaji wa nenosiri kwa muda mrefu, utahitaji ufikiaji wa kimwili kwa uhakika wa kufikia.

Ulinzi wa kifaa cha mteja

Suluhu zisizotumia waya za Cisco Catalyst 9800 Series kwa sasa hutoa kipengele cha msingi cha ulinzi wa mteja kupitia Cisco Umbrella WLAN, huduma ya usalama ya mtandao inayotegemea wingu inayofanya kazi katika kiwango cha DNS na ugunduzi wa kiotomatiki wa vitisho vinavyojulikana na vinavyojitokeza.

Cisco Umbrella WLAN hutoa vifaa vya mteja na muunganisho salama wa Mtandao. Hii inafanikiwa kupitia uchujaji wa maudhui, yaani, kwa kuzuia upatikanaji wa rasilimali kwenye mtandao kwa mujibu wa sera ya biashara. Kwa hivyo, vifaa vya mteja kwenye Mtandao vinalindwa dhidi ya programu hasidi, programu ya kukomboa, na hadaa. Utekelezaji wa sera unategemea kategoria 60 za maudhui zinazosasishwa kila mara.

Operesheni

Mitandao ya kisasa isiyo na waya ni rahisi zaidi na ngumu, kwa hivyo mbinu za jadi za kusanidi na kupata habari kutoka kwa vidhibiti visivyo na waya hazitoshi. Wasimamizi wa mtandao na wataalamu wa usalama wa habari wanahitaji zana za uwekaji kiotomatiki na uchanganuzi, hivyo basi kuwafanya wachuuzi wasiotumia waya kutoa zana kama hizo.

Ili kutatua matatizo haya, vidhibiti visivyotumia waya vya Cisco Catalyst 9800, pamoja na API ya kitamaduni, hutoa usaidizi kwa itifaki ya usanidi wa mtandao wa RESTCONF/NETCONF na lugha ya kielelezo ya data ya YANG (Bado Kizazi Kingine kijacho).

NETCONF ni itifaki inayotegemea XML ambayo programu zinaweza kutumia kuuliza habari na kubadilisha usanidi wa vifaa vya mtandao kama vile vidhibiti visivyotumia waya.

Mbali na mbinu hizi, Cisco Catalyst 9800 Series Controllers hutoa uwezo wa kunasa, kurejesha, na kuchambua data ya mtiririko wa habari kwa kutumia itifaki za NetFlow na sFlow.

Kwa usalama na muundo wa trafiki, uwezo wa kufuatilia mtiririko maalum ni zana muhimu. Ili kutatua tatizo hili, itifaki ya sFlow ilitekelezwa, ambayo inakuwezesha kukamata pakiti mbili kati ya kila mia. Walakini, wakati mwingine hii inaweza kuwa haitoshi kuchambua na kusoma vya kutosha na kutathmini mtiririko. Kwa hiyo, mbadala ni NetFlow, inayotekelezwa na Cisco, ambayo inakuwezesha kukusanya na kuuza nje pakiti zote katika mtiririko maalum kwa uchambuzi unaofuata.

Kipengele kingine, hata hivyo, kinapatikana tu katika utekelezaji wa vifaa vya vidhibiti, ambayo hukuruhusu kubinafsisha utendakazi wa mtandao wa wireless katika vidhibiti vya mfululizo wa Cisco Catalyst 9800, ni msaada uliojengwa kwa lugha ya Python kama nyongeza ya kutumia. scripts moja kwa moja kwenye kidhibiti cha wireless yenyewe.

Hatimaye, Vidhibiti vya Mfululizo wa Cisco Catalyst 9800 vinaunga mkono toleo la 1, 2, na 3 la SNMP lililothibitishwa kwa ajili ya ufuatiliaji na uendeshaji wa shughuli.

Kwa hiyo, kwa upande wa automatisering, ufumbuzi wa Cisco Catalyst 9800 Series hukutana kikamilifu na mahitaji ya kisasa ya biashara, kutoa wote mpya na wa kipekee, pamoja na zana zilizojaribiwa kwa muda kwa ajili ya shughuli za kiotomatiki na uchambuzi katika mitandao ya wireless ya ukubwa wowote na utata.

Hitimisho

Katika suluhisho kulingana na Vidhibiti vya Mfululizo wa Cisco Catalyst 9800, Cisco ilionyesha matokeo bora katika kategoria za upatikanaji wa juu, usalama na otomatiki.

Suluhisho linakidhi kikamilifu mahitaji yote ya juu ya upatikanaji kama vile kutofaulu kwa sekunde ndogo wakati wa matukio ambayo hayajapangwa na kutokuwepo kwa muda kwa matukio yaliyoratibiwa.

Vidhibiti vya Mfululizo wa Cisco Catalyst 9800 hutoa usalama wa kina ambao hutoa ukaguzi wa kina wa pakiti kwa utambuzi na usimamizi wa programu, mwonekano kamili katika mtiririko wa data, na utambuzi wa vitisho vilivyofichwa katika trafiki iliyosimbwa, pamoja na uthibitishaji wa hali ya juu na mifumo ya usalama kwa vifaa vya mteja.

Kwa otomatiki na uchanganuzi, Mfululizo wa Cisco Catalyst 9800 hutoa uwezo mkubwa kwa kutumia miundo ya kawaida maarufu: YANG, NETCONF, RESTCONF, API za jadi, na hati za Python zilizojengewa ndani.

Kwa hivyo, Cisco kwa mara nyingine tena inathibitisha hali yake kama mtengenezaji anayeongoza ulimwenguni wa suluhisho za mitandao, akiendana na nyakati na kwa kuzingatia changamoto zote za biashara ya kisasa.

Kwa habari zaidi kuhusu familia ya kubadili Catalyst, tembelea Online cisco.

Chanzo: mapenzi.com

Mnamo 2019, kampuni ya ushauri ya Miercom ilifanya tathmini huru ya kiteknolojia ya watawala wa Wi-Fi 6 wa mfululizo wa Cisco Catalyst 9800. Kwa utafiti huu, benchi ya majaribio ilikusanywa kutoka kwa watawala wa Cisco Wi-Fi 6 na pointi za kufikia, na ufumbuzi wa kiufundi ulikuwa. kutathminiwa katika makundi yafuatayo:

• Upatikanaji;
• Usalama;
• Otomatiki.

Matokeo ya utafiti yanaonyeshwa hapa chini. Tangu 2019, utendaji wa vidhibiti vya mfululizo wa Cisco Catalyst 9800 umeboreshwa kwa kiasi kikubwa - pointi hizi pia zinaonyeshwa katika makala hii.

Unaweza kusoma kuhusu faida nyingine za teknolojia ya Wi-Fi 6, mifano ya utekelezaji na maeneo ya maombi hapa.

Muhtasari wa Suluhisho

Vidhibiti vya Wi-Fi 6 vya Cisco Catalyst 9800 mfululizo

Cisco Catalyst 9800 Series Wireless Controllers, kulingana na mfumo wa uendeshaji wa IOS-XE (pia hutumiwa kwa swichi za Cisco na routers), zinapatikana katika chaguzi mbalimbali.

Mfano wa zamani wa mtawala wa 9800-80 inasaidia upitishaji wa mtandao wa wireless hadi 80 Gbps. Kidhibiti kimoja cha 9800-80 kinaweza kutumia hadi vituo 6000 vya ufikiaji na hadi wateja 64 wasiotumia waya.

Muundo wa masafa ya kati, kidhibiti cha 9800-40, kinaweza kutumia hadi Gbps 40, hadi pointi 2000 za kufikia na hadi wateja 32 wasiotumia waya.

Mbali na miundo hii, uchanganuzi wa ushindani pia ulijumuisha kidhibiti kisichotumia waya cha 9800-CL (CL inawakilisha Cloud). 9800-CL huendeshwa katika mazingira ya mtandaoni kwenye VMWare ESXI na viboreshaji vya KVM, na utendakazi wake unategemea nyenzo maalum za maunzi kwa mashine pepe ya kidhibiti. Katika usanidi wake wa juu zaidi, kidhibiti cha Cisco 9800-CL, kama kielelezo cha zamani cha 9800-80, kinaauni uwezo wa kufikia pointi 6000 na hadi wateja 64 wasiotumia waya.

Wakati wa kufanya utafiti na vidhibiti, sehemu za ufikiaji za mfululizo wa Cisco Aironet AP 4800 zilitumika, kusaidia uendeshaji katika masafa ya 2,4 na 5 GHz na uwezo wa kubadili kwa nguvu kwa hali ya 5-GHz mbili.

benchi ya mtihani

Kama sehemu ya jaribio, stendi ilikusanywa kutoka kwa vidhibiti viwili visivyotumia waya vya Cisco Catalyst 9800-CL vinavyofanya kazi katika kundi na sehemu za ufikiaji za mfululizo wa Cisco Aironet AP 4800.

Kompyuta ndogo kutoka kwa Dell na Apple, pamoja na simu mahiri ya Apple iPhone, zilitumika kama vifaa vya mteja.

Jaribio la Ufikivu

Upatikanaji unafafanuliwa kama uwezo wa watumiaji kufikia na kutumia mfumo au huduma. Upatikanaji wa juu unamaanisha ufikiaji endelevu wa mfumo au huduma, bila kujali matukio fulani.

Upatikanaji wa juu ulijaribiwa katika hali nne, matukio matatu ya kwanza yakiwa ya kutabirika au matukio yaliyoratibiwa ambayo yanaweza kutokea wakati au baada ya saa za kazi. Hali ya tano ni kushindwa kwa classical, ambayo ni tukio lisilotabirika.

Maelezo ya matukio:

• Marekebisho ya hitilafu - sasisho ndogo ya mfumo (bugfix au kiraka cha usalama), ambayo inakuwezesha kurekebisha kosa fulani au udhaifu bila sasisho kamili la programu ya mfumo;
• Sasisho la kazi - kuongeza au kupanua utendaji wa sasa wa mfumo kwa kufunga sasisho za kazi;
• Sasisho kamili - sasisha picha ya programu ya mtawala;
• Kuongeza kituo cha kufikia - kuongeza mtindo mpya wa kufikia mtandao wa wireless bila hitaji la kurekebisha au kusasisha programu ya kidhibiti cha wireless;
• Kushindwa-kushindwa kwa kidhibiti kisichotumia waya.

Kurekebisha hitilafu na udhaifu

Mara nyingi, pamoja na ufumbuzi mwingi wa ushindani, kuunganisha kunahitaji sasisho kamili la programu ya mfumo wa mtawala wa wireless, ambayo inaweza kusababisha muda usiopangwa. Katika kesi ya suluhisho la Cisco, patching hufanywa bila kuacha bidhaa. Viraka vinaweza kusakinishwa kwenye kipengele chochote huku miundombinu isiyotumia waya ikiendelea kufanya kazi.

Utaratibu yenyewe ni rahisi sana. Faili ya kiraka inakiliwa kwenye folda ya bootstrap kwenye moja ya vidhibiti vya wireless vya Cisco, na operesheni inathibitishwa kupitia GUI au mstari wa amri. Kwa kuongeza, unaweza pia kufuta na kuondoa kurekebisha kupitia GUI au mstari wa amri, pia bila kukatiza uendeshaji wa mfumo.

Sasisho la kazi

Masasisho ya programu zinazofanya kazi hutumika ili kuwezesha vipengele vipya. Mojawapo ya maboresho haya ni kusasisha hifadhidata ya sahihi ya programu. Kifurushi hiki kilisakinishwa kwenye vidhibiti vya Cisco kama jaribio. Kama vile viraka, masasisho ya vipengele hutumika, kusakinishwa au kuondolewa bila kukatika au kukatizwa kwa mfumo wowote.

Sasisho kamili

Kwa sasa, sasisho kamili la picha ya programu ya mtawala inafanywa kwa njia sawa na sasisho la kazi, yaani, bila kupungua. Hata hivyo, kipengele hiki kinapatikana tu katika usanidi wa nguzo wakati kuna zaidi ya kidhibiti kimoja. Sasisho kamili linafanywa kwa mlolongo: kwanza kwa mtawala mmoja, kisha kwa pili.

Inaongeza muundo mpya wa kituo cha ufikiaji

Kuunganisha pointi mpya za kufikia, ambazo hazijatumiwa hapo awali na picha ya programu ya mtawala iliyotumiwa, kwenye mtandao wa wireless ni operesheni ya kawaida ya kawaida, hasa katika mitandao mikubwa (viwanja vya ndege, hoteli, viwanda). Mara nyingi katika suluhisho za washindani, operesheni hii inahitaji kusasisha programu ya mfumo au kuwasha tena vidhibiti.

Wakati wa kuunganisha vituo vipya vya ufikiaji wa Wi-Fi 6 kwenye kikundi cha vidhibiti vya mfululizo wa Cisco Catalyst 9800, hakuna matatizo kama hayo yanazingatiwa. Kuunganisha pointi mpya kwa mtawala hufanyika bila uppdatering programu ya mtawala, na mchakato huu hauhitaji upya upya, hivyo hauathiri mtandao wa wireless kwa njia yoyote.

Kushindwa kwa kidhibiti

Mazingira ya jaribio hutumia vidhibiti viwili vya Wi-Fi 6 (Inayotumika/InayosimamaBy) na eneo la ufikiaji lina muunganisho wa moja kwa moja kwa vidhibiti vyote viwili.

Kidhibiti kimoja kisichotumia waya kinafanya kazi, na kingine, kwa mtiririko huo, ni chelezo. Ikiwa kidhibiti amilifu kitashindwa, kidhibiti chelezo huchukua nafasi na hali yake itabadilika na kuwa amilifu. Utaratibu huu hutokea bila kukatizwa kwa uhakika wa kufikia na Wi-Fi kwa wateja.

usalama

Sehemu hii inajadili vipengele vya usalama, ambalo ni suala linalosisitiza sana katika mitandao isiyotumia waya. Usalama wa suluhisho hupimwa kulingana na sifa zifuatazo:

• Utambuzi wa maombi;
• Ufuatiliaji wa mtiririko;
• Uchambuzi wa trafiki iliyosimbwa;
• Utambuzi wa kuingilia na kuzuia;
• Uthibitishaji unamaanisha;
• Zana za ulinzi wa kifaa cha mteja.

Utambuzi wa programu

Miongoni mwa aina mbalimbali za bidhaa katika soko la biashara na viwanda la Wi-Fi, kuna tofauti katika jinsi bidhaa zinavyotambua trafiki kwa maombi. Bidhaa kutoka kwa wazalishaji tofauti zinaweza kutambua idadi tofauti ya programu. Hata hivyo, programu nyingi ambazo suluhu shindani zinaorodhesha iwezekanavyo kwa ajili ya utambulisho ni, kwa kweli, tovuti, na si programu za kipekee.

Kuna kipengele kingine cha kuvutia cha utambuzi wa maombi: ufumbuzi hutofautiana sana katika usahihi wa kitambulisho.

Kwa kuzingatia majaribio yote yaliyofanywa, tunaweza kusema kwa uwajibikaji kuwa suluhisho la Cisco la Wi-Fi-6 linafanya utambuzi wa programu kwa usahihi sana: Jabber, Netflix, Dropbox, YouTube na programu zingine maarufu, pamoja na huduma za wavuti, zilitambuliwa kwa usahihi. Suluhu za Cisco pia zinaweza kuingia ndani zaidi kwenye pakiti za data kwa kutumia DPI (Ukaguzi wa Kifurushi cha Kina).

Ufuatiliaji wa mtiririko wa trafiki

Jaribio lingine lilifanyika ili kuona ikiwa mfumo ungeweza kufuatilia na kuripoti mtiririko wa data kwa usahihi (kama vile miondoko mikubwa ya faili). Ili kujaribu hili, faili ya megabaiti 6,5 ilitumwa kwenye mtandao kwa kutumia Itifaki ya Uhawilishaji Faili (FTP).

Suluhisho la Cisco lilikuwa kamili kwa kazi hiyo na liliweza kufuatilia shukrani hii ya trafiki kwa NetFlow na uwezo wake wa vifaa. Trafiki iligunduliwa na kutambuliwa mara moja na kiasi kamili cha data iliyohamishwa.

Uchambuzi wa trafiki uliosimbwa kwa njia fiche

Trafiki ya data ya mtumiaji inazidi kusimbwa. Hii inafanywa ili kuilinda dhidi ya kufuatiliwa au kuingiliwa na washambuliaji. Lakini wakati huo huo, wadukuzi wanazidi kutumia usimbaji fiche ili kuficha programu hasidi na kutekeleza shughuli zingine zenye kutia shaka kama vile Man-in-the-Middle (MiTM) au mashambulizi ya keylogging.

Biashara nyingi hukagua baadhi ya trafiki zao zilizosimbwa kwa njia fiche kwanza kwa kusimbua kwa kutumia ngome au mifumo ya kuzuia uvamizi. Lakini mchakato huu unachukua muda mwingi na haufaidi utendaji wa mtandao kwa ujumla. Kwa kuongeza, mara baada ya kusimbwa, data hii inakuwa hatari kwa macho ya kutazama.

Vidhibiti vya Cisco Catalyst 9800 Series kwa mafanikio kutatua tatizo la kuchambua trafiki iliyosimbwa kwa njia zingine. Suluhisho linaitwa Uchanganuzi wa Trafiki Uliosimbwa (ETA). ETA ni teknolojia ambayo kwa sasa haina analogi katika suluhu shindani na ambayo hutambua programu hasidi katika trafiki iliyosimbwa bila kuhitaji kusimbua. ETA ni kipengele kikuu cha IOS-XE ambacho kinajumuisha NetFlow Iliyoimarishwa na hutumia algoriti za hali ya juu ili kutambua mifumo hasidi ya trafiki inayojificha katika trafiki iliyosimbwa.

ETA haisimbui ujumbe, lakini hukusanya wasifu wa metadata wa mtiririko uliosimbwa wa trafiki - saizi ya pakiti, vipindi vya muda kati ya pakiti, na mengi zaidi. Kisha metadata inasafirishwa katika rekodi za NetFlow v9 hadi Cisco Stealthwatch.

Kazi muhimu ya Stealthwatch ni kufuatilia mara kwa mara trafiki, na pia kuunda msingi wa shughuli za kawaida za mtandao. Kwa kutumia metadata ya mtiririko iliyosimbwa kwa njia fiche iliyotumwa kwayo na ETA, Stealthwatch hutumia mafunzo ya mashine ya tabaka nyingi ili kutambua hitilafu za trafiki ambazo zinaweza kuonyesha matukio ya kutiliwa shaka.

Mwaka jana, Cisco ilishirikisha Miercom ili kutathmini kwa kujitegemea suluhisho lake la Uchanganuzi Uliosimbwa wa Trafiki wa Cisco. Wakati wa tathmini hii, Miercom ilituma kivyake vitisho vinavyojulikana na visivyojulikana (virusi, Trojans, ransomware) katika trafiki iliyosimbwa na ambayo haijasimbwa kwenye mitandao mikubwa ya ETA na isiyo ya ETA ili kutambua vitisho.

Kwa majaribio, msimbo hasidi ulizinduliwa kwenye mitandao yote miwili. Katika visa vyote viwili, shughuli za kutiliwa shaka ziligunduliwa hatua kwa hatua. Mtandao wa ETA awali uligundua vitisho 36% kwa kasi zaidi kuliko mtandao usio wa ETA. Wakati huo huo, kazi ikiendelea, tija ya kugundua katika mtandao wa ETA ilianza kuongezeka. Matokeo yake, baada ya saa kadhaa za kazi, theluthi mbili ya vitisho vilivyotumika viligunduliwa kwa ufanisi katika mtandao wa ETA, ambao ni mara mbili zaidi kuliko mtandao usio wa ETA.

Utendaji wa ETA umeunganishwa vyema na Stealthwatch. Vitisho vinaorodheshwa kulingana na ukali na kuonyeshwa kwa maelezo ya kina, pamoja na chaguzi za kurekebisha mara moja zimethibitishwa. Hitimisho - ETA inafanya kazi!

Utambuzi wa kuingilia na kuzuia

Cisco sasa ina zana nyingine madhubuti ya usalama - Mfumo wa Kina wa Kuzuia Uingiliaji wa Waya wa Cisco (aWIPS): utaratibu wa kugundua na kuzuia vitisho kwa mitandao isiyo na waya. Suluhisho la aWIPS linafanya kazi katika ngazi ya vidhibiti, sehemu za kufikia na programu ya usimamizi wa Kituo cha DNA cha Cisco. Utambuzi, arifa na uzuiaji wa vitisho huchanganya uchanganuzi wa trafiki ya mtandao, habari ya kifaa cha mtandao na topolojia ya mtandao, mbinu zinazozingatia saini, na ugunduzi wa hitilafu ili kutoa vitisho sahihi na vinavyoweza kuzuilika bila waya.

Kuunganisha kikamilifu aWIPS kwenye miundombinu ya mtandao wako, unaweza kuendelea kufuatilia trafiki isiyotumia waya kwenye mitandao ya waya na isiyotumia waya na kuitumia kuchanganua kiotomatiki mashambulizi yanayoweza kutokea kutoka kwa vyanzo vingi ili kutoa ugunduzi na uzuiaji wa kina iwezekanavyo.

Njia za uthibitishaji

Kwa sasa, pamoja na zana za uthibitishaji za kawaida, suluhisho za mfululizo wa Cisco Catalyst 9800 zinaunga mkono WPA3. WPA3 ni toleo la hivi punde la WPA, ambalo ni seti ya itifaki na teknolojia zinazotoa uthibitishaji na usimbaji fiche kwa mitandao ya Wi-Fi.

WPA3 hutumia Uthibitishaji Sambamba wa Sawa (SAE) ili kutoa ulinzi thabiti zaidi kwa watumiaji dhidi ya majaribio ya kubahatisha nenosiri yanayofanywa na wahusika wengine. Wakati mteja anaunganisha kwenye kituo cha kufikia, hufanya kubadilishana kwa SAE. Ikiwa imefanikiwa, kila mmoja wao ataunda ufunguo wenye nguvu wa kriptografia ambayo ufunguo wa kikao utatolewa, na kisha wataingia katika hali ya uthibitisho. Kiteja na eneo la ufikiaji linaweza kisha kuingia hali za kupeana mikono kila wakati ufunguo wa kipindi unahitaji kuzalishwa. Njia hutumia usiri wa mbele, ambayo mshambuliaji anaweza kuvunja ufunguo mmoja, lakini sio funguo nyingine zote.

Hiyo ni, SAE imeundwa kwa njia ambayo mvamizi anayeingilia trafiki ana jaribio moja tu la kukisia nenosiri kabla data iliyozuiliwa haijatumika. Ili kuandaa urejeshaji wa nenosiri kwa muda mrefu, utahitaji ufikiaji wa kimwili kwa uhakika wa kufikia.

Ulinzi wa kifaa cha mteja

Suluhu zisizotumia waya za Cisco Catalyst 9800 Series kwa sasa hutoa kipengele cha msingi cha ulinzi wa mteja kupitia Cisco Umbrella WLAN, huduma ya usalama ya mtandao inayotegemea wingu inayofanya kazi katika kiwango cha DNS na ugunduzi wa kiotomatiki wa vitisho vinavyojulikana na vinavyojitokeza.

Cisco Umbrella WLAN hutoa vifaa vya mteja na muunganisho salama wa Mtandao. Hii inafanikiwa kupitia uchujaji wa maudhui, yaani, kwa kuzuia upatikanaji wa rasilimali kwenye mtandao kwa mujibu wa sera ya biashara. Kwa hivyo, vifaa vya mteja kwenye Mtandao vinalindwa dhidi ya programu hasidi, programu ya kukomboa, na hadaa. Utekelezaji wa sera unategemea kategoria 60 za maudhui zinazosasishwa kila mara.

Operesheni

Mitandao ya kisasa isiyo na waya ni rahisi zaidi na ngumu, kwa hivyo mbinu za jadi za kusanidi na kupata habari kutoka kwa vidhibiti visivyo na waya hazitoshi. Wasimamizi wa mtandao na wataalamu wa usalama wa habari wanahitaji zana za uwekaji kiotomatiki na uchanganuzi, hivyo basi kuwafanya wachuuzi wasiotumia waya kutoa zana kama hizo.

Ili kutatua matatizo haya, vidhibiti visivyotumia waya vya Cisco Catalyst 9800, pamoja na API ya kitamaduni, hutoa usaidizi kwa itifaki ya usanidi wa mtandao wa RESTCONF/NETCONF na lugha ya kielelezo ya data ya YANG (Bado Kizazi Kingine kijacho).

NETCONF ni itifaki inayotegemea XML ambayo programu zinaweza kutumia kuuliza habari na kubadilisha usanidi wa vifaa vya mtandao kama vile vidhibiti visivyotumia waya.

Mbali na mbinu hizi, Cisco Catalyst 9800 Series Controllers hutoa uwezo wa kunasa, kurejesha, na kuchambua data ya mtiririko wa habari kwa kutumia itifaki za NetFlow na sFlow.

Kwa usalama na muundo wa trafiki, uwezo wa kufuatilia mtiririko maalum ni zana muhimu. Ili kutatua tatizo hili, itifaki ya sFlow ilitekelezwa, ambayo inakuwezesha kukamata pakiti mbili kati ya kila mia. Walakini, wakati mwingine hii inaweza kuwa haitoshi kuchambua na kusoma vya kutosha na kutathmini mtiririko. Kwa hiyo, mbadala ni NetFlow, inayotekelezwa na Cisco, ambayo inakuwezesha kukusanya na kuuza nje pakiti zote katika mtiririko maalum kwa uchambuzi unaofuata.

Kipengele kingine, hata hivyo, kinapatikana tu katika utekelezaji wa vifaa vya vidhibiti, ambayo hukuruhusu kubinafsisha utendakazi wa mtandao wa wireless katika vidhibiti vya mfululizo wa Cisco Catalyst 9800, ni msaada uliojengwa kwa lugha ya Python kama nyongeza ya kutumia. scripts moja kwa moja kwenye kidhibiti cha wireless yenyewe.

Hatimaye, Vidhibiti vya Mfululizo wa Cisco Catalyst 9800 vinaunga mkono toleo la 1, 2, na 3 la SNMP lililothibitishwa kwa ajili ya ufuatiliaji na uendeshaji wa shughuli.

Kwa hiyo, kwa upande wa automatisering, ufumbuzi wa Cisco Catalyst 9800 Series hukutana kikamilifu na mahitaji ya kisasa ya biashara, kutoa wote mpya na wa kipekee, pamoja na zana zilizojaribiwa kwa muda kwa ajili ya shughuli za kiotomatiki na uchambuzi katika mitandao ya wireless ya ukubwa wowote na utata.

Hitimisho

Katika suluhisho kulingana na Vidhibiti vya Mfululizo wa Cisco Catalyst 9800, Cisco ilionyesha matokeo bora katika kategoria za upatikanaji wa juu, usalama na otomatiki.

Suluhisho linakidhi kikamilifu mahitaji yote ya juu ya upatikanaji kama vile kutofaulu kwa sekunde ndogo wakati wa matukio ambayo hayajapangwa na kutokuwepo kwa muda kwa matukio yaliyoratibiwa.

Vidhibiti vya Mfululizo wa Cisco Catalyst 9800 hutoa usalama wa kina ambao hutoa ukaguzi wa kina wa pakiti kwa utambuzi na usimamizi wa programu, mwonekano kamili katika mtiririko wa data, na utambuzi wa vitisho vilivyofichwa katika trafiki iliyosimbwa, pamoja na uthibitishaji wa hali ya juu na mifumo ya usalama kwa vifaa vya mteja.

Kwa otomatiki na uchanganuzi, Mfululizo wa Cisco Catalyst 9800 hutoa uwezo mkubwa kwa kutumia miundo ya kawaida maarufu: YANG, NETCONF, RESTCONF, API za jadi, na hati za Python zilizojengewa ndani.

Kwa hivyo, Cisco kwa mara nyingine tena inathibitisha hali yake kama mtengenezaji anayeongoza ulimwenguni wa suluhisho za mitandao, akiendana na nyakati na kwa kuzingatia changamoto zote za biashara ya kisasa.

Kwa habari zaidi kuhusu familia ya kubadili Catalyst, tembelea Online cisco.

Chanzo: mapenzi.com