Kung mayroon kang controller, walang problema: kung paano madaling mapanatili ang iyong wireless network

Noong 2019, nagsagawa ang consulting company na Miercom ng independiyenteng teknolohikal na pagtatasa ng Wi-Fi 6 controllers ng Cisco Catalyst 9800 series. Para sa pag-aaral na ito, isang test bench ang binuo mula sa Cisco Wi-Fi 6 controllers at access point, at ang teknikal na solusyon ay nasuri sa mga sumusunod na kategorya:

• Availability;
• Seguridad;
• Automation.

Ang mga resulta ng pag-aaral ay ipinapakita sa ibaba. Mula noong 2019, ang pag-andar ng Cisco Catalyst 9800 series controllers ay makabuluhang napabuti - ang mga puntong ito ay makikita rin sa artikulong ito.

Maaari mong basahin ang tungkol sa iba pang mga pakinabang ng teknolohiya ng Wi-Fi 6, mga halimbawa ng pagpapatupad at mga lugar ng aplikasyon dito.

Pangkalahatang-ideya ng Solusyon

Wi-Fi 6 controllers Cisco Catalyst 9800 series

Ang Cisco Catalyst 9800 Series Wireless Controllers, batay sa IOS-XE operating system (ginagamit din para sa Cisco switch at router), ay available sa iba't ibang opsyon.

Ang mas lumang modelo ng 9800-80 controller ay sumusuporta sa wireless network throughput hanggang 80 Gbps. Sinusuportahan ng isang 9800-80 controller ang hanggang 6000 access point at hanggang 64 wireless client.

Ang mid-range na modelo, ang 9800-40 controller, ay sumusuporta sa hanggang 40 Gbps throughput, hanggang 2000 access point at hanggang 32 wireless client.

Bilang karagdagan sa mga modelong ito, kasama rin sa mapagkumpitensyang pagsusuri ang 9800-CL wireless controller (CL ay nangangahulugang Cloud). Ang 9800-CL ay tumatakbo sa mga virtual na kapaligiran sa VMWare ESXI at KVM hypervisors, at ang pagganap nito ay nakadepende sa mga nakalaang mapagkukunan ng hardware para sa controller virtual machine. Sa maximum na configuration nito, ang Cisco 9800-CL controller, tulad ng mas lumang modelong 9800-80, ay sumusuporta sa scalability hanggang 6000 access point at hanggang 64 wireless client.

Kapag nagsasagawa ng pananaliksik sa mga controller, ginamit ang Cisco Aironet AP 4800 series access point, na sumusuporta sa operasyon sa mga frequency na 2,4 at 5 GHz na may kakayahang dynamic na lumipat sa dual 5-GHz mode.

Test stand

Bilang bahagi ng pagsubok, isang stand ang binuo mula sa dalawang Cisco Catalyst 9800-CL wireless controllers na tumatakbo sa isang cluster at Cisco Aironet AP 4800 series access point.

Ang mga laptop mula sa Dell at Apple, pati na rin ang isang Apple iPhone smartphone, ay ginamit bilang mga client device.

Pagsusuri sa Accessibility

Ang availability ay tinukoy bilang ang kakayahan ng mga user na mag-access at gumamit ng isang system o serbisyo. Ang mataas na kakayahang magamit ay nagpapahiwatig ng tuluy-tuloy na pag-access sa isang system o serbisyo, na hiwalay sa ilang partikular na kaganapan.

Nasubukan ang mataas na availability sa apat na sitwasyon, ang unang tatlong senaryo ay predictable o nakaiskedyul na mga kaganapan na maaaring mangyari sa panahon o pagkatapos ng mga oras ng negosyo. Ang ikalimang senaryo ay isang klasikong kabiguan, na isang hindi inaasahang pangyayari.

Paglalarawan ng mga senaryo:

• Pagwawasto ng error – isang micro-update ng system (bugfix o security patch), na nagbibigay-daan sa iyong ayusin ang isang partikular na error o kahinaan nang walang kumpletong pag-update ng software ng system;
• Functional update – pagdaragdag o pagpapalawak ng kasalukuyang functionality ng system sa pamamagitan ng pag-install ng functional updates;
• Buong pag-update - i-update ang imahe ng software ng controller;
• Pagdaragdag ng access point – pagdaragdag ng bagong modelo ng access point sa isang wireless network nang hindi kailangang muling i-configure o i-update ang wireless controller software;
• Pagkabigo—pagkabigo ng wireless controller.

Pag-aayos ng mga bug at kahinaan

Kadalasan, sa maraming mapagkumpitensyang solusyon, ang pag-patch ay nangangailangan ng kumpletong pag-update ng software ng wireless controller system, na maaaring magresulta sa hindi planadong downtime. Sa kaso ng Cisco solution, ang pag-patch ay isinasagawa nang hindi humihinto sa produkto. Maaaring i-install ang mga patch sa alinman sa mga bahagi habang ang wireless na imprastraktura ay patuloy na gumagana.

Ang pamamaraan mismo ay medyo simple. Ang patch file ay kinopya sa bootstrap folder sa isa sa mga Cisco wireless controllers, at ang operasyon ay kinumpirma sa pamamagitan ng GUI o command line. Bilang karagdagan, maaari mo ring i-undo at alisin ang pag-aayos sa pamamagitan ng GUI o command line, nang hindi rin nakakaabala sa pagpapatakbo ng system.

Functional na pag-update

Ang mga functional na pag-update ng software ay inilalapat upang paganahin ang mga bagong function. Isa sa mga pagpapahusay na ito ay ang pag-update ng application signature database. Ang package na ito ay na-install sa Cisco controllers bilang isang pagsubok. Tulad ng mga patch, inilalapat, ini-install, o inalis ang mga update sa feature nang walang anumang downtime o pagkaantala ng system.

Buong update

Sa ngayon, ang isang buong pag-update ng imahe ng controller ng software ay ginagawa sa parehong paraan tulad ng isang functional update, iyon ay, nang walang downtime. Gayunpaman, available lang ang feature na ito sa isang cluster configuration kapag mayroong higit sa isang controller. Ang isang kumpletong pag-update ay isinasagawa nang sunud-sunod: una sa isang controller, pagkatapos ay sa pangalawa.

Pagdaragdag ng bagong modelo ng access point

Ang pagkonekta ng mga bagong access point, na hindi pa pinapatakbo gamit ang controller software image na ginamit, sa isang wireless network ay isang medyo pangkaraniwang operasyon, lalo na sa malalaking network (mga airport, hotel, pabrika). Kadalasan sa mga solusyon sa kakumpitensya, ang operasyong ito ay nangangailangan ng pag-update ng software ng system o pag-reboot ng mga controller.

Kapag nagkokonekta ng bagong Wi-Fi 6 na mga access point sa isang kumpol ng Cisco Catalyst 9800 series controllers, walang ganoong problema ang naobserbahan. Ang pagkonekta ng mga bagong punto sa controller ay isinasagawa nang hindi ina-update ang controller software, at ang prosesong ito ay hindi nangangailangan ng reboot, kaya hindi naaapektuhan ang wireless network sa anumang paraan.

Pagkabigo ng controller

Gumagamit ang test environment ng dalawang Wi-Fi 6 controllers (Active/StandBy) at ang access point ay may direktang koneksyon sa parehong controllers.

Ang isang wireless controller ay aktibo, at ang isa, ayon sa pagkakabanggit, ay backup. Kung nabigo ang aktibong controller, papalitan ng backup na controller at magiging aktibo ang status nito. Nangyayari ang pamamaraang ito nang walang pagkaantala para sa access point at Wi-Fi para sa mga kliyente.

katiwasayan

Tinatalakay ng seksyong ito ang mga aspeto ng seguridad, na isang napakabigat na isyu sa mga wireless network. Ang seguridad ng solusyon ay tinasa batay sa mga sumusunod na katangian:

• Pagkilala sa aplikasyon;
• Pagsubaybay sa daloy;
• Pagsusuri ng naka-encrypt na trapiko;
• Pagtuklas at pag-iwas sa panghihimasok;
• Ang ibig sabihin ng pagpapatunay;
• Mga tool sa proteksyon ng device ng kliyente.

Pagkilala sa aplikasyon

Kabilang sa iba't ibang mga produkto sa enterprise at pang-industriya na merkado ng Wi-Fi, may mga pagkakaiba sa kung gaano kahusay ang pagkakakilanlan ng mga produkto ng trapiko sa pamamagitan ng aplikasyon. Ang mga produkto mula sa iba't ibang mga tagagawa ay maaaring tumukoy ng iba't ibang bilang ng mga aplikasyon. Gayunpaman, marami sa mga application na inilista ng mga mapagkumpitensyang solusyon bilang posible para sa pagkakakilanlan ay, sa katunayan, mga website, at hindi mga natatanging application.

May isa pang kawili-wiling tampok ng pagkilala sa aplikasyon: ang mga solusyon ay nag-iiba nang malaki sa katumpakan ng pagkakakilanlan.

Isinasaalang-alang ang lahat ng mga pagsubok na isinagawa, maaari naming responsableng sabihin na ang solusyon sa Wi-Fi-6 ng Cisco ay gumaganap ng pagkilala sa application nang napakatumpak: Jabber, Netflix, Dropbox, YouTube at iba pang mga sikat na application, pati na rin ang mga serbisyo sa web, ay tumpak na natukoy. Ang mga solusyon sa Cisco ay maaari ding sumisid nang mas malalim sa mga packet ng data gamit ang DPI (Deep Packet Inspection).

Pagsubaybay sa daloy ng trapiko

Ang isa pang pagsubok ay isinagawa upang makita kung ang system ay maaaring tumpak na masubaybayan at mag-ulat ng mga daloy ng data (tulad ng malalaking paggalaw ng file). Upang subukan ito, isang 6,5 megabyte na file ang ipinadala sa network gamit ang File Transfer Protocol (FTP).

Ang solusyon ng Cisco ay ganap na nakayanan ang gawain at nagawang subaybayan ang trapikong ito salamat sa NetFlow at sa mga kakayahan nito sa hardware. Ang trapiko ay nakita at natukoy kaagad sa eksaktong dami ng data na inilipat.

Naka-encrypt na pagsusuri sa trapiko

Ang trapiko ng data ng user ay lalong na-encrypt. Ginagawa ito upang maprotektahan ito mula sa pagsubaybay o pagharang ng mga umaatake. Ngunit sa parehong oras, ang mga hacker ay lalong gumagamit ng encryption upang itago ang kanilang malware at magsagawa ng iba pang mga kahina-hinalang operasyon tulad ng Man-in-the-Middle (MiTM) o pag-atake ng keylogging.

Karamihan sa mga negosyo ay nag-iinspeksyon sa ilan sa kanilang naka-encrypt na trapiko sa pamamagitan ng unang pag-decrypt nito gamit ang mga firewall o intrusion prevention system. Ngunit ang prosesong ito ay tumatagal ng maraming oras at hindi nakikinabang sa pagganap ng network sa kabuuan. Bilang karagdagan, kapag na-decrypted, ang data na ito ay nagiging vulnerable sa prying eyes.

Matagumpay na nalutas ng mga controllers ng Cisco Catalyst 9800 Series ang problema sa pagsusuri ng naka-encrypt na trapiko sa pamamagitan ng ibang paraan. Ang solusyon ay tinatawag na Encrypted Traffic Analytics (ETA). Ang ETA ay isang teknolohiya na kasalukuyang walang mga analogue sa mga mapagkumpitensyang solusyon at nakakakita ng malware sa naka-encrypt na trapiko nang hindi na kailangang i-decrypt ito. Ang ETA ay isang pangunahing tampok ng IOS-XE na kinabibilangan ng Pinahusay na NetFlow at gumagamit ng mga advanced na algorithm ng pag-uugali upang matukoy ang mga nakakahamak na pattern ng trapiko na nagtatago sa naka-encrypt na trapiko.

Ang ETA ay hindi nagde-decrypt ng mga mensahe, ngunit nangongolekta ng mga profile ng metadata ng mga naka-encrypt na daloy ng trapiko - laki ng packet, agwat ng oras sa pagitan ng mga packet, at marami pang iba. Ang metadata ay ine-export sa mga talaan ng NetFlow v9 sa Cisco Stealthwatch.

Ang pangunahing function ng Stealthwatch ay ang patuloy na pagsubaybay sa trapiko, gayundin ang paggawa ng baseline ng normal na aktibidad ng network. Gamit ang naka-encrypt na metadata ng stream na ipinadala dito ng ETA, inilalapat ng Stealthwatch ang multi-layered machine learning upang matukoy ang mga anomalya ng trapiko sa gawi na maaaring magpahiwatig ng mga kahina-hinalang kaganapan.

Noong nakaraang taon, nakipag-ugnayan ang Cisco sa Miercom upang independiyenteng suriin ang solusyon nito sa Cisco Encrypted Traffic Analytics. Sa panahon ng pagtatasa na ito, hiwalay na nagpadala ang Miercom ng mga kilala at hindi kilalang banta (mga virus, Trojan, ransomware) sa naka-encrypt at hindi naka-encrypt na trapiko sa malalaking ETA at hindi ETA network upang matukoy ang mga banta.

Para sa pagsubok, inilunsad ang malisyosong code sa parehong network. Sa parehong mga kaso, ang kahina-hinalang aktibidad ay unti-unting natuklasan. Ang ETA network sa una ay nakakita ng mga banta na 36% na mas mabilis kaysa sa hindi ETA network. Kasabay nito, habang umuunlad ang trabaho, nagsimulang tumaas ang pagiging produktibo ng pagtuklas sa network ng ETA. Bilang resulta, pagkatapos ng ilang oras ng trabaho, dalawang-katlo ng mga aktibong banta ang matagumpay na natukoy sa ETA network, na dalawang beses na mas marami kaysa sa hindi ETA network.

Ang pag-andar ng ETA ay mahusay na isinama sa Stealthwatch. Ang mga banta ay niraranggo ayon sa kalubhaan at ipinapakita na may detalyadong impormasyon, pati na rin ang mga opsyon sa remediation kapag nakumpirma na. Konklusyon - gumagana ang ETA!

Pagtuklas at pag-iwas sa panghihimasok

Ang Cisco ay mayroon na ngayong isa pang epektibong tool sa seguridad - ang Cisco Advanced Wireless Intrusion Prevention System (aWIPS): isang mekanismo para sa pagtukoy at pagpigil sa mga banta sa mga wireless network. Ang solusyon ng aWIPS ay gumagana sa antas ng mga controllers, access point at Cisco DNA Center management software. Pinagsasama ng pagtuklas ng pagbabanta, pag-aalerto, at pag-iwas sa network traffic analysis, network device at impormasyon sa topology ng network, mga diskarteng nakabatay sa lagda, at pagtukoy ng anomalya upang makapaghatid ng lubos na tumpak at mapipigilan na mga wireless na pagbabanta.

Ganap na isinasama ang aWIPS sa iyong imprastraktura ng network, maaari mong patuloy na subaybayan ang wireless na trapiko sa parehong wired at wireless network at gamitin ito upang awtomatikong pag-aralan ang mga potensyal na pag-atake mula sa maraming mapagkukunan upang maibigay ang pinakakomprehensibong pagtuklas at pag-iwas na posible.

Ang ibig sabihin ng authentication

Sa ngayon, bilang karagdagan sa mga klasikong tool sa pagpapatunay, sinusuportahan ng mga solusyon sa serye ng Cisco Catalyst 9800 ang WPA3. Ang WPA3 ay ang pinakabagong bersyon ng WPA, na isang hanay ng mga protocol at teknolohiya na nagbibigay ng pagpapatunay at pag-encrypt para sa mga Wi-Fi network.

Gumagamit ang WPA3 ng Simultaneous Authentication of Equals (SAE) upang magbigay ng pinakamatibay na proteksyon para sa mga user laban sa mga pagtatangka sa paghula ng password ng mga third party. Kapag kumonekta ang isang kliyente sa isang access point, nagsasagawa ito ng SAE exchange. Kung matagumpay, gagawa ang bawat isa sa kanila ng isang cryptographically strong key kung saan kukunin ang session key, at pagkatapos ay papasok sila sa confirmation state. Ang kliyente at access point ay maaaring magpasok ng mga estado ng handshake sa tuwing kailangang gumawa ng session key. Ang pamamaraan ay gumagamit ng pasulong na lihim, kung saan ang isang umaatake ay maaaring pumutok ng isang susi, ngunit hindi lahat ng iba pang mga susi.

Iyon ay, ang SAE ay idinisenyo sa paraang ang isang umaatake na humahadlang sa trapiko ay may isang pagtatangka lamang na hulaan ang password bago maging walang silbi ang na-intercept na data. Upang ayusin ang isang mahabang pagbawi ng password, kakailanganin mo ng pisikal na access sa access point.

Proteksyon ng device ng kliyente

Ang mga wireless na solusyon sa Cisco Catalyst 9800 Series ay kasalukuyang nagbibigay ng pangunahing tampok na proteksyon ng customer sa pamamagitan ng Cisco Umbrella WLAN, isang cloud-based na serbisyo sa seguridad ng network na tumatakbo sa antas ng DNS na may awtomatikong pagtuklas ng parehong kilala at umuusbong na mga banta.

Ang Cisco Umbrella WLAN ay nagbibigay ng mga client device na may secure na koneksyon sa Internet. Nakamit ito sa pamamagitan ng pag-filter ng nilalaman, iyon ay, sa pamamagitan ng pagharang sa pag-access sa mga mapagkukunan sa Internet alinsunod sa patakaran ng enterprise. Kaya, ang mga device ng kliyente sa Internet ay protektado mula sa malware, ransomware, at phishing. Ang pagpapatupad ng patakaran ay batay sa 60 patuloy na na-update na mga kategorya ng nilalaman.

Pag-aautomat

Ang mga wireless network ngayon ay mas nababaluktot at kumplikado, kaya ang mga tradisyonal na paraan ng pag-configure at pagkuha ng impormasyon mula sa mga wireless controller ay hindi sapat. Ang mga administrator ng network at mga propesyonal sa seguridad ng impormasyon ay nangangailangan ng mga tool para sa automation at analytics, na nag-uudyok sa mga wireless na vendor na mag-alok ng mga naturang tool.

Upang malutas ang mga problemang ito, ang Cisco Catalyst 9800 series wireless controllers, kasama ang tradisyunal na API, ay nagbibigay ng suporta para sa RESTCONF / NETCONF network configuration protocol gamit ang YANG (Yet Another Next Generation) data modelling language.

Ang NETCONF ay isang XML-based na protocol na magagamit ng mga application upang mag-query ng impormasyon at baguhin ang configuration ng mga network device gaya ng mga wireless controller.

Bilang karagdagan sa mga pamamaraang ito, ang Cisco Catalyst 9800 Series Controllers ay nagbibigay ng kakayahang makuha, kunin, at suriin ang data ng daloy ng impormasyon gamit ang mga protocol ng NetFlow at sFlow.

Para sa pagmomodelo ng seguridad at trapiko, ang kakayahang subaybayan ang mga partikular na daloy ay isang mahalagang tool. Upang malutas ang problemang ito, ipinatupad ang sFlow protocol, na nagbibigay-daan sa iyo upang makuha ang dalawang packet sa bawat daan. Gayunpaman, kung minsan ito ay maaaring hindi sapat upang pag-aralan at sapat na pag-aralan at suriin ang daloy. Samakatuwid, ang isang alternatibo ay ang NetFlow, na ipinatupad ng Cisco, na nagbibigay-daan sa iyong 100% na kolektahin at i-export ang lahat ng mga packet sa isang tinukoy na daloy para sa kasunod na pagsusuri.

Ang isa pang tampok, gayunpaman, magagamit lamang sa pagpapatupad ng hardware ng mga controllers, na nagbibigay-daan sa iyo upang i-automate ang pagpapatakbo ng wireless network sa Cisco Catalyst 9800 series controllers, ay built-in na suporta para sa wikang Python bilang isang add-on para sa paggamit. mga script nang direkta sa wireless controller mismo.

Sa wakas, sinusuportahan ng Cisco Catalyst 9800 Series Controllers ang napatunayang SNMP version 1, 2, at 3 na protocol para sa pagsubaybay at pamamahala ng mga operasyon.

Kaya, sa mga tuntunin ng automation, ganap na natutugunan ng mga solusyon ng Cisco Catalyst 9800 Series ang mga modernong kinakailangan sa negosyo, na nag-aalok ng bago at kakaiba, pati na rin ang mga tool na nasubok sa oras para sa mga awtomatikong operasyon at analytics sa mga wireless network ng anumang laki at kumplikado.

Konklusyon

Sa mga solusyon batay sa Cisco Catalyst 9800 Series Controllers, nagpakita ang Cisco ng mahuhusay na resulta sa mga kategorya ng mataas na kakayahang magamit, seguridad at automation.

Ang solusyon ay ganap na nakakatugon sa lahat ng mataas na kinakailangan sa availability tulad ng sub-second failover sa panahon ng hindi planadong mga kaganapan at zero downtime para sa mga naka-iskedyul na kaganapan.

Ang Cisco Catalyst 9800 Series Controllers ay nagbibigay ng komprehensibong seguridad na nagbibigay ng malalim na packet inspection para sa pagkilala at kontrol ng application, kumpletong visibility sa mga daloy ng data, at pagtukoy ng mga banta na nakatago sa naka-encrypt na trapiko, pati na rin ang advanced na authentication at mga mekanismo ng seguridad para sa mga device ng kliyente.

Para sa automation at analytics, nag-aalok ang Cisco Catalyst 9800 Series ng malalakas na kakayahan gamit ang mga sikat na standard na modelo: YANG, NETCONF, RESTCONF, tradisyonal na mga API, at built-in na Python script.

Kaya, muling kinumpirma ng Cisco ang katayuan nito bilang nangungunang tagagawa ng mga solusyon sa networking sa buong mundo, na naaayon sa panahon at isinasaalang-alang ang lahat ng mga hamon ng modernong negosyo.

Para sa higit pang impormasyon tungkol sa pamilya ng Catalyst switch, bisitahin ang Online Cisco.

Pinagmulan: www.habr.com

Noong 2019, nagsagawa ang consulting company na Miercom ng independiyenteng teknolohikal na pagtatasa ng Wi-Fi 6 controllers ng Cisco Catalyst 9800 series. Para sa pag-aaral na ito, isang test bench ang binuo mula sa Cisco Wi-Fi 6 controllers at access point, at ang teknikal na solusyon ay nasuri sa mga sumusunod na kategorya:

• Availability;
• Seguridad;
• Automation.

Ang mga resulta ng pag-aaral ay ipinapakita sa ibaba. Mula noong 2019, ang pag-andar ng Cisco Catalyst 9800 series controllers ay makabuluhang napabuti - ang mga puntong ito ay makikita rin sa artikulong ito.

Maaari mong basahin ang tungkol sa iba pang mga pakinabang ng teknolohiya ng Wi-Fi 6, mga halimbawa ng pagpapatupad at mga lugar ng aplikasyon dito.

Pangkalahatang-ideya ng Solusyon

Wi-Fi 6 controllers Cisco Catalyst 9800 series

Ang Cisco Catalyst 9800 Series Wireless Controllers, batay sa IOS-XE operating system (ginagamit din para sa Cisco switch at router), ay available sa iba't ibang opsyon.

Ang mas lumang modelo ng 9800-80 controller ay sumusuporta sa wireless network throughput hanggang 80 Gbps. Sinusuportahan ng isang 9800-80 controller ang hanggang 6000 access point at hanggang 64 wireless client.

Ang mid-range na modelo, ang 9800-40 controller, ay sumusuporta sa hanggang 40 Gbps throughput, hanggang 2000 access point at hanggang 32 wireless client.

Bilang karagdagan sa mga modelong ito, kasama rin sa mapagkumpitensyang pagsusuri ang 9800-CL wireless controller (CL ay nangangahulugang Cloud). Ang 9800-CL ay tumatakbo sa mga virtual na kapaligiran sa VMWare ESXI at KVM hypervisors, at ang pagganap nito ay nakadepende sa mga nakalaang mapagkukunan ng hardware para sa controller virtual machine. Sa maximum na configuration nito, ang Cisco 9800-CL controller, tulad ng mas lumang modelong 9800-80, ay sumusuporta sa scalability hanggang 6000 access point at hanggang 64 wireless client.

Kapag nagsasagawa ng pananaliksik sa mga controller, ginamit ang Cisco Aironet AP 4800 series access point, na sumusuporta sa operasyon sa mga frequency na 2,4 at 5 GHz na may kakayahang dynamic na lumipat sa dual 5-GHz mode.

Test stand

Bilang bahagi ng pagsubok, isang stand ang binuo mula sa dalawang Cisco Catalyst 9800-CL wireless controllers na tumatakbo sa isang cluster at Cisco Aironet AP 4800 series access point.

Ang mga laptop mula sa Dell at Apple, pati na rin ang isang Apple iPhone smartphone, ay ginamit bilang mga client device.

Pagsusuri sa Accessibility

Ang availability ay tinukoy bilang ang kakayahan ng mga user na mag-access at gumamit ng isang system o serbisyo. Ang mataas na kakayahang magamit ay nagpapahiwatig ng tuluy-tuloy na pag-access sa isang system o serbisyo, na hiwalay sa ilang partikular na kaganapan.

Nasubukan ang mataas na availability sa apat na sitwasyon, ang unang tatlong senaryo ay predictable o nakaiskedyul na mga kaganapan na maaaring mangyari sa panahon o pagkatapos ng mga oras ng negosyo. Ang ikalimang senaryo ay isang klasikong kabiguan, na isang hindi inaasahang pangyayari.

Paglalarawan ng mga senaryo:

• Pagwawasto ng error – isang micro-update ng system (bugfix o security patch), na nagbibigay-daan sa iyong ayusin ang isang partikular na error o kahinaan nang walang kumpletong pag-update ng software ng system;
• Functional update – pagdaragdag o pagpapalawak ng kasalukuyang functionality ng system sa pamamagitan ng pag-install ng functional updates;
• Buong pag-update - i-update ang imahe ng software ng controller;
• Pagdaragdag ng access point – pagdaragdag ng bagong modelo ng access point sa isang wireless network nang hindi kailangang muling i-configure o i-update ang wireless controller software;
• Pagkabigo—pagkabigo ng wireless controller.

Pag-aayos ng mga bug at kahinaan

Kadalasan, sa maraming mapagkumpitensyang solusyon, ang pag-patch ay nangangailangan ng kumpletong pag-update ng software ng wireless controller system, na maaaring magresulta sa hindi planadong downtime. Sa kaso ng Cisco solution, ang pag-patch ay isinasagawa nang hindi humihinto sa produkto. Maaaring i-install ang mga patch sa alinman sa mga bahagi habang ang wireless na imprastraktura ay patuloy na gumagana.

Ang pamamaraan mismo ay medyo simple. Ang patch file ay kinopya sa bootstrap folder sa isa sa mga Cisco wireless controllers, at ang operasyon ay kinumpirma sa pamamagitan ng GUI o command line. Bilang karagdagan, maaari mo ring i-undo at alisin ang pag-aayos sa pamamagitan ng GUI o command line, nang hindi rin nakakaabala sa pagpapatakbo ng system.

Functional na pag-update

Ang mga functional na pag-update ng software ay inilalapat upang paganahin ang mga bagong function. Isa sa mga pagpapahusay na ito ay ang pag-update ng application signature database. Ang package na ito ay na-install sa Cisco controllers bilang isang pagsubok. Tulad ng mga patch, inilalapat, ini-install, o inalis ang mga update sa feature nang walang anumang downtime o pagkaantala ng system.

Buong update

Sa ngayon, ang isang buong pag-update ng imahe ng controller ng software ay ginagawa sa parehong paraan tulad ng isang functional update, iyon ay, nang walang downtime. Gayunpaman, available lang ang feature na ito sa isang cluster configuration kapag mayroong higit sa isang controller. Ang isang kumpletong pag-update ay isinasagawa nang sunud-sunod: una sa isang controller, pagkatapos ay sa pangalawa.

Pagdaragdag ng bagong modelo ng access point

Ang pagkonekta ng mga bagong access point, na hindi pa pinapatakbo gamit ang controller software image na ginamit, sa isang wireless network ay isang medyo pangkaraniwang operasyon, lalo na sa malalaking network (mga airport, hotel, pabrika). Kadalasan sa mga solusyon sa kakumpitensya, ang operasyong ito ay nangangailangan ng pag-update ng software ng system o pag-reboot ng mga controller.

Kapag nagkokonekta ng bagong Wi-Fi 6 na mga access point sa isang kumpol ng Cisco Catalyst 9800 series controllers, walang ganoong problema ang naobserbahan. Ang pagkonekta ng mga bagong punto sa controller ay isinasagawa nang hindi ina-update ang controller software, at ang prosesong ito ay hindi nangangailangan ng reboot, kaya hindi naaapektuhan ang wireless network sa anumang paraan.

Pagkabigo ng controller

Gumagamit ang test environment ng dalawang Wi-Fi 6 controllers (Active/StandBy) at ang access point ay may direktang koneksyon sa parehong controllers.

Ang isang wireless controller ay aktibo, at ang isa, ayon sa pagkakabanggit, ay backup. Kung nabigo ang aktibong controller, papalitan ng backup na controller at magiging aktibo ang status nito. Nangyayari ang pamamaraang ito nang walang pagkaantala para sa access point at Wi-Fi para sa mga kliyente.

katiwasayan

Tinatalakay ng seksyong ito ang mga aspeto ng seguridad, na isang napakabigat na isyu sa mga wireless network. Ang seguridad ng solusyon ay tinasa batay sa mga sumusunod na katangian:

• Pagkilala sa aplikasyon;
• Pagsubaybay sa daloy;
• Pagsusuri ng naka-encrypt na trapiko;
• Pagtuklas at pag-iwas sa panghihimasok;
• Ang ibig sabihin ng pagpapatunay;
• Mga tool sa proteksyon ng device ng kliyente.

Pagkilala sa aplikasyon

Kabilang sa iba't ibang mga produkto sa enterprise at pang-industriya na merkado ng Wi-Fi, may mga pagkakaiba sa kung gaano kahusay ang pagkakakilanlan ng mga produkto ng trapiko sa pamamagitan ng aplikasyon. Ang mga produkto mula sa iba't ibang mga tagagawa ay maaaring tumukoy ng iba't ibang bilang ng mga aplikasyon. Gayunpaman, marami sa mga application na inilista ng mga mapagkumpitensyang solusyon bilang posible para sa pagkakakilanlan ay, sa katunayan, mga website, at hindi mga natatanging application.

May isa pang kawili-wiling tampok ng pagkilala sa aplikasyon: ang mga solusyon ay nag-iiba nang malaki sa katumpakan ng pagkakakilanlan.

Isinasaalang-alang ang lahat ng mga pagsubok na isinagawa, maaari naming responsableng sabihin na ang solusyon sa Wi-Fi-6 ng Cisco ay gumaganap ng pagkilala sa application nang napakatumpak: Jabber, Netflix, Dropbox, YouTube at iba pang mga sikat na application, pati na rin ang mga serbisyo sa web, ay tumpak na natukoy. Ang mga solusyon sa Cisco ay maaari ding sumisid nang mas malalim sa mga packet ng data gamit ang DPI (Deep Packet Inspection).

Pagsubaybay sa daloy ng trapiko

Ang isa pang pagsubok ay isinagawa upang makita kung ang system ay maaaring tumpak na masubaybayan at mag-ulat ng mga daloy ng data (tulad ng malalaking paggalaw ng file). Upang subukan ito, isang 6,5 megabyte na file ang ipinadala sa network gamit ang File Transfer Protocol (FTP).

Ang solusyon ng Cisco ay ganap na nakayanan ang gawain at nagawang subaybayan ang trapikong ito salamat sa NetFlow at sa mga kakayahan nito sa hardware. Ang trapiko ay nakita at natukoy kaagad sa eksaktong dami ng data na inilipat.

Naka-encrypt na pagsusuri sa trapiko

Ang trapiko ng data ng user ay lalong na-encrypt. Ginagawa ito upang maprotektahan ito mula sa pagsubaybay o pagharang ng mga umaatake. Ngunit sa parehong oras, ang mga hacker ay lalong gumagamit ng encryption upang itago ang kanilang malware at magsagawa ng iba pang mga kahina-hinalang operasyon tulad ng Man-in-the-Middle (MiTM) o pag-atake ng keylogging.

Karamihan sa mga negosyo ay nag-iinspeksyon sa ilan sa kanilang naka-encrypt na trapiko sa pamamagitan ng unang pag-decrypt nito gamit ang mga firewall o intrusion prevention system. Ngunit ang prosesong ito ay tumatagal ng maraming oras at hindi nakikinabang sa pagganap ng network sa kabuuan. Bilang karagdagan, kapag na-decrypted, ang data na ito ay nagiging vulnerable sa prying eyes.

Matagumpay na nalutas ng mga controllers ng Cisco Catalyst 9800 Series ang problema sa pagsusuri ng naka-encrypt na trapiko sa pamamagitan ng ibang paraan. Ang solusyon ay tinatawag na Encrypted Traffic Analytics (ETA). Ang ETA ay isang teknolohiya na kasalukuyang walang mga analogue sa mga mapagkumpitensyang solusyon at nakakakita ng malware sa naka-encrypt na trapiko nang hindi na kailangang i-decrypt ito. Ang ETA ay isang pangunahing tampok ng IOS-XE na kinabibilangan ng Pinahusay na NetFlow at gumagamit ng mga advanced na algorithm ng pag-uugali upang matukoy ang mga nakakahamak na pattern ng trapiko na nagtatago sa naka-encrypt na trapiko.

Ang ETA ay hindi nagde-decrypt ng mga mensahe, ngunit nangongolekta ng mga profile ng metadata ng mga naka-encrypt na daloy ng trapiko - laki ng packet, agwat ng oras sa pagitan ng mga packet, at marami pang iba. Ang metadata ay ine-export sa mga talaan ng NetFlow v9 sa Cisco Stealthwatch.

Ang pangunahing function ng Stealthwatch ay ang patuloy na pagsubaybay sa trapiko, gayundin ang paggawa ng baseline ng normal na aktibidad ng network. Gamit ang naka-encrypt na metadata ng stream na ipinadala dito ng ETA, inilalapat ng Stealthwatch ang multi-layered machine learning upang matukoy ang mga anomalya ng trapiko sa gawi na maaaring magpahiwatig ng mga kahina-hinalang kaganapan.

Noong nakaraang taon, nakipag-ugnayan ang Cisco sa Miercom upang independiyenteng suriin ang solusyon nito sa Cisco Encrypted Traffic Analytics. Sa panahon ng pagtatasa na ito, hiwalay na nagpadala ang Miercom ng mga kilala at hindi kilalang banta (mga virus, Trojan, ransomware) sa naka-encrypt at hindi naka-encrypt na trapiko sa malalaking ETA at hindi ETA network upang matukoy ang mga banta.

Para sa pagsubok, inilunsad ang malisyosong code sa parehong network. Sa parehong mga kaso, ang kahina-hinalang aktibidad ay unti-unting natuklasan. Ang ETA network sa una ay nakakita ng mga banta na 36% na mas mabilis kaysa sa hindi ETA network. Kasabay nito, habang umuunlad ang trabaho, nagsimulang tumaas ang pagiging produktibo ng pagtuklas sa network ng ETA. Bilang resulta, pagkatapos ng ilang oras ng trabaho, dalawang-katlo ng mga aktibong banta ang matagumpay na natukoy sa ETA network, na dalawang beses na mas marami kaysa sa hindi ETA network.

Ang pag-andar ng ETA ay mahusay na isinama sa Stealthwatch. Ang mga banta ay niraranggo ayon sa kalubhaan at ipinapakita na may detalyadong impormasyon, pati na rin ang mga opsyon sa remediation kapag nakumpirma na. Konklusyon - gumagana ang ETA!

Pagtuklas at pag-iwas sa panghihimasok

Ang Cisco ay mayroon na ngayong isa pang epektibong tool sa seguridad - ang Cisco Advanced Wireless Intrusion Prevention System (aWIPS): isang mekanismo para sa pagtukoy at pagpigil sa mga banta sa mga wireless network. Ang solusyon ng aWIPS ay gumagana sa antas ng mga controllers, access point at Cisco DNA Center management software. Pinagsasama ng pagtuklas ng pagbabanta, pag-aalerto, at pag-iwas sa network traffic analysis, network device at impormasyon sa topology ng network, mga diskarteng nakabatay sa lagda, at pagtukoy ng anomalya upang makapaghatid ng lubos na tumpak at mapipigilan na mga wireless na pagbabanta.

Ganap na isinasama ang aWIPS sa iyong imprastraktura ng network, maaari mong patuloy na subaybayan ang wireless na trapiko sa parehong wired at wireless network at gamitin ito upang awtomatikong pag-aralan ang mga potensyal na pag-atake mula sa maraming mapagkukunan upang maibigay ang pinakakomprehensibong pagtuklas at pag-iwas na posible.

Ang ibig sabihin ng authentication

Sa ngayon, bilang karagdagan sa mga klasikong tool sa pagpapatunay, sinusuportahan ng mga solusyon sa serye ng Cisco Catalyst 9800 ang WPA3. Ang WPA3 ay ang pinakabagong bersyon ng WPA, na isang hanay ng mga protocol at teknolohiya na nagbibigay ng pagpapatunay at pag-encrypt para sa mga Wi-Fi network.

Gumagamit ang WPA3 ng Simultaneous Authentication of Equals (SAE) upang magbigay ng pinakamatibay na proteksyon para sa mga user laban sa mga pagtatangka sa paghula ng password ng mga third party. Kapag kumonekta ang isang kliyente sa isang access point, nagsasagawa ito ng SAE exchange. Kung matagumpay, gagawa ang bawat isa sa kanila ng isang cryptographically strong key kung saan kukunin ang session key, at pagkatapos ay papasok sila sa confirmation state. Ang kliyente at access point ay maaaring magpasok ng mga estado ng handshake sa tuwing kailangang gumawa ng session key. Ang pamamaraan ay gumagamit ng pasulong na lihim, kung saan ang isang umaatake ay maaaring pumutok ng isang susi, ngunit hindi lahat ng iba pang mga susi.

Iyon ay, ang SAE ay idinisenyo sa paraang ang isang umaatake na humahadlang sa trapiko ay may isang pagtatangka lamang na hulaan ang password bago maging walang silbi ang na-intercept na data. Upang ayusin ang isang mahabang pagbawi ng password, kakailanganin mo ng pisikal na access sa access point.

Proteksyon ng device ng kliyente

Ang mga wireless na solusyon sa Cisco Catalyst 9800 Series ay kasalukuyang nagbibigay ng pangunahing tampok na proteksyon ng customer sa pamamagitan ng Cisco Umbrella WLAN, isang cloud-based na serbisyo sa seguridad ng network na tumatakbo sa antas ng DNS na may awtomatikong pagtuklas ng parehong kilala at umuusbong na mga banta.

Ang Cisco Umbrella WLAN ay nagbibigay ng mga client device na may secure na koneksyon sa Internet. Nakamit ito sa pamamagitan ng pag-filter ng nilalaman, iyon ay, sa pamamagitan ng pagharang sa pag-access sa mga mapagkukunan sa Internet alinsunod sa patakaran ng enterprise. Kaya, ang mga device ng kliyente sa Internet ay protektado mula sa malware, ransomware, at phishing. Ang pagpapatupad ng patakaran ay batay sa 60 patuloy na na-update na mga kategorya ng nilalaman.

Pag-aautomat

Ang mga wireless network ngayon ay mas nababaluktot at kumplikado, kaya ang mga tradisyonal na paraan ng pag-configure at pagkuha ng impormasyon mula sa mga wireless controller ay hindi sapat. Ang mga administrator ng network at mga propesyonal sa seguridad ng impormasyon ay nangangailangan ng mga tool para sa automation at analytics, na nag-uudyok sa mga wireless na vendor na mag-alok ng mga naturang tool.

Upang malutas ang mga problemang ito, ang Cisco Catalyst 9800 series wireless controllers, kasama ang tradisyunal na API, ay nagbibigay ng suporta para sa RESTCONF / NETCONF network configuration protocol gamit ang YANG (Yet Another Next Generation) data modelling language.

Ang NETCONF ay isang XML-based na protocol na magagamit ng mga application upang mag-query ng impormasyon at baguhin ang configuration ng mga network device gaya ng mga wireless controller.

Bilang karagdagan sa mga pamamaraang ito, ang Cisco Catalyst 9800 Series Controllers ay nagbibigay ng kakayahang makuha, kunin, at suriin ang data ng daloy ng impormasyon gamit ang mga protocol ng NetFlow at sFlow.

Para sa pagmomodelo ng seguridad at trapiko, ang kakayahang subaybayan ang mga partikular na daloy ay isang mahalagang tool. Upang malutas ang problemang ito, ipinatupad ang sFlow protocol, na nagbibigay-daan sa iyo upang makuha ang dalawang packet sa bawat daan. Gayunpaman, kung minsan ito ay maaaring hindi sapat upang pag-aralan at sapat na pag-aralan at suriin ang daloy. Samakatuwid, ang isang alternatibo ay ang NetFlow, na ipinatupad ng Cisco, na nagbibigay-daan sa iyong 100% na kolektahin at i-export ang lahat ng mga packet sa isang tinukoy na daloy para sa kasunod na pagsusuri.

Ang isa pang tampok, gayunpaman, magagamit lamang sa pagpapatupad ng hardware ng mga controllers, na nagbibigay-daan sa iyo upang i-automate ang pagpapatakbo ng wireless network sa Cisco Catalyst 9800 series controllers, ay built-in na suporta para sa wikang Python bilang isang add-on para sa paggamit. mga script nang direkta sa wireless controller mismo.

Sa wakas, sinusuportahan ng Cisco Catalyst 9800 Series Controllers ang napatunayang SNMP version 1, 2, at 3 na protocol para sa pagsubaybay at pamamahala ng mga operasyon.

Kaya, sa mga tuntunin ng automation, ganap na natutugunan ng mga solusyon ng Cisco Catalyst 9800 Series ang mga modernong kinakailangan sa negosyo, na nag-aalok ng bago at kakaiba, pati na rin ang mga tool na nasubok sa oras para sa mga awtomatikong operasyon at analytics sa mga wireless network ng anumang laki at kumplikado.

Konklusyon

Sa mga solusyon batay sa Cisco Catalyst 9800 Series Controllers, nagpakita ang Cisco ng mahuhusay na resulta sa mga kategorya ng mataas na kakayahang magamit, seguridad at automation.

Ang solusyon ay ganap na nakakatugon sa lahat ng mataas na kinakailangan sa availability tulad ng sub-second failover sa panahon ng hindi planadong mga kaganapan at zero downtime para sa mga naka-iskedyul na kaganapan.

Ang Cisco Catalyst 9800 Series Controllers ay nagbibigay ng komprehensibong seguridad na nagbibigay ng malalim na packet inspection para sa pagkilala at kontrol ng application, kumpletong visibility sa mga daloy ng data, at pagtukoy ng mga banta na nakatago sa naka-encrypt na trapiko, pati na rin ang advanced na authentication at mga mekanismo ng seguridad para sa mga device ng kliyente.

Para sa automation at analytics, nag-aalok ang Cisco Catalyst 9800 Series ng malalakas na kakayahan gamit ang mga sikat na standard na modelo: YANG, NETCONF, RESTCONF, tradisyonal na mga API, at built-in na Python script.

Kaya, muling kinumpirma ng Cisco ang katayuan nito bilang nangungunang tagagawa ng mga solusyon sa networking sa buong mundo, na naaayon sa panahon at isinasaalang-alang ang lahat ng mga hamon ng modernong negosyo.

Para sa higit pang impormasyon tungkol sa pamilya ng Catalyst switch, bisitahin ang Online Cisco.

Pinagmulan: www.habr.com