Nếu bạn có bộ điều khiển, không có vấn đề gì: cách dễ dàng duy trì mạng không dây của bạn

Năm 2019, công ty tư vấn Miercom đã tiến hành đánh giá công nghệ độc lập về bộ điều khiển Wi-Fi 6 của dòng Cisco Catalyst 9800. Đối với nghiên cứu này, một băng ghế thử nghiệm đã được lắp ráp từ các bộ điều khiển và điểm truy cập Cisco Wi-Fi 6, đồng thời giải pháp kỹ thuật đã được đưa ra. đánh giá ở các hạng mục sau:

• Khả dụng;
• An ninh;
• Tự động hóa.

Kết quả nghiên cứu được trình bày dưới đây. Kể từ năm 2019, chức năng của bộ điều khiển dòng Cisco Catalyst 9800 đã được cải thiện đáng kể - những điểm này cũng được phản ánh trong bài viết này.

Bạn có thể đọc về những ưu điểm khác của công nghệ Wi-Fi 6, ví dụ về cách triển khai và lĩnh vực ứng dụng đây.

Tổng quan về giải pháp

Bộ điều khiển Wi-Fi 6 dòng Cisco Catalyst 9800

Bộ điều khiển không dây Cisco Catalyst 9800 Series, dựa trên hệ điều hành IOS-XE (cũng được sử dụng cho bộ chuyển mạch và bộ định tuyến của Cisco), có sẵn nhiều tùy chọn.

Model cũ hơn của bộ điều khiển 9800-80 hỗ trợ thông lượng mạng không dây lên tới 80 Gbps. Một bộ điều khiển 9800-80 hỗ trợ tới 6000 điểm truy cập và tối đa 64 máy khách không dây.

Model tầm trung, bộ điều khiển 9800-40, hỗ trợ thông lượng lên tới 40 Gbps, lên tới 2000 điểm truy cập và lên tới 32 máy khách không dây.

Ngoài các mẫu này, phân tích cạnh tranh còn bao gồm bộ điều khiển không dây 9800-CL (CL là viết tắt của Cloud). 9800-CL chạy trong môi trường ảo trên các bộ ảo hóa VMWare ESXI và KVM và hiệu suất của nó phụ thuộc vào tài nguyên phần cứng chuyên dụng cho máy ảo điều khiển. Ở cấu hình tối đa, bộ điều khiển Cisco 9800-CL, giống như model 9800-80 cũ hơn, hỗ trợ khả năng mở rộng lên tới 6000 điểm truy cập và tối đa 64 máy khách không dây.

Khi tiến hành nghiên cứu với bộ điều khiển, các điểm truy cập dòng Cisco Aironet AP 4800 đã được sử dụng, hỗ trợ hoạt động ở tần số 2,4 và 5 GHz với khả năng tự động chuyển sang chế độ 5 GHz kép.

Kiểm tra đứng

Là một phần của thử nghiệm, một giá đỡ được lắp ráp từ hai bộ điều khiển không dây Cisco Catalyst 9800-CL hoạt động trong một cụm và các điểm truy cập dòng Cisco Aironet AP 4800.

Máy tính xách tay của Dell và Apple, cũng như điện thoại thông minh iPhone của Apple, được sử dụng làm thiết bị khách.

Kiểm tra khả năng truy cập

Tính sẵn sàng được định nghĩa là khả năng người dùng truy cập và sử dụng hệ thống hoặc dịch vụ. Tính sẵn sàng cao ngụ ý quyền truy cập liên tục vào hệ thống hoặc dịch vụ, không phụ thuộc vào các sự kiện nhất định.

Tính khả dụng cao đã được thử nghiệm trong bốn kịch bản, ba kịch bản đầu tiên là các sự kiện có thể dự đoán hoặc được lên lịch có thể xảy ra trong hoặc sau giờ làm việc. Kịch bản thứ năm là một thất bại kinh điển, là một sự kiện khó lường.

Mô tả các tình huống:

• Sửa lỗi – một bản cập nhật vi mô của hệ thống (sửa lỗi hoặc bản vá bảo mật), cho phép bạn sửa một lỗi hoặc lỗ hổng cụ thể mà không cần cập nhật hoàn chỉnh phần mềm hệ thống;
• Cập nhật chức năng – thêm hoặc mở rộng chức năng hiện tại của hệ thống bằng cách cài đặt các bản cập nhật chức năng;
• Cập nhật đầy đủ – cập nhật hình ảnh phần mềm điều khiển;
• Thêm điểm truy cập – thêm mô hình điểm truy cập mới vào mạng không dây mà không cần cấu hình lại hoặc cập nhật phần mềm bộ điều khiển không dây;
• Thất bại—lỗi của bộ điều khiển không dây.

Sửa lỗi và lỗ hổng

Thông thường, với nhiều giải pháp cạnh tranh, việc vá lỗi yêu cầu cập nhật phần mềm hoàn chỉnh của hệ thống bộ điều khiển không dây, điều này có thể dẫn đến thời gian ngừng hoạt động ngoài dự kiến. Trong trường hợp giải pháp của Cisco, việc vá lỗi được thực hiện mà không cần dừng sản phẩm. Các bản vá có thể được cài đặt trên bất kỳ thành phần nào trong khi cơ sở hạ tầng không dây tiếp tục hoạt động.

Thủ tục này khá đơn giản. Tệp vá lỗi được sao chép vào thư mục bootstrap trên một trong các bộ điều khiển không dây của Cisco và sau đó hoạt động được xác nhận thông qua GUI hoặc dòng lệnh. Ngoài ra, bạn cũng có thể hoàn tác và xóa bản sửa lỗi thông qua GUI hoặc dòng lệnh mà không làm gián đoạn hoạt động của hệ thống.

Cập nhật chức năng

Các bản cập nhật phần mềm chức năng được áp dụng để kích hoạt các tính năng mới. Một trong những cải tiến này là cập nhật cơ sở dữ liệu chữ ký ứng dụng. Gói này đã được cài đặt trên bộ điều khiển của Cisco dưới dạng thử nghiệm. Cũng giống như các bản vá, các bản cập nhật tính năng được áp dụng, cài đặt hoặc xóa mà không có bất kỳ thời gian ngừng hoạt động hoặc gián đoạn hệ thống nào.

Hoàn thành cập nhật

Hiện tại, việc cập nhật đầy đủ hình ảnh phần mềm bộ điều khiển được thực hiện giống như cập nhật chức năng, nghĩa là không có thời gian ngừng hoạt động. Tuy nhiên, tính năng này chỉ khả dụng trong cấu hình cụm khi có nhiều bộ điều khiển. Một bản cập nhật hoàn chỉnh được thực hiện tuần tự: đầu tiên trên một bộ điều khiển, sau đó trên bộ điều khiển thứ hai.

Thêm mô hình điểm truy cập mới

Kết nối các điểm truy cập mới mà trước đây chưa được vận hành bằng image phần mềm điều khiển được sử dụng với mạng không dây là một thao tác khá phổ biến, đặc biệt là trong các mạng lớn (sân bay, khách sạn, nhà máy). Khá thường xuyên trong các giải pháp của đối thủ cạnh tranh, thao tác này yêu cầu cập nhật phần mềm hệ thống hoặc khởi động lại bộ điều khiển.

Khi kết nối các điểm truy cập Wi-Fi 6 mới với một cụm bộ điều khiển dòng Cisco Catalyst 9800, không có vấn đề nào như vậy được quan sát thấy. Việc kết nối các điểm mới với bộ điều khiển được thực hiện mà không cần cập nhật phần mềm bộ điều khiển và quá trình này không yêu cầu khởi động lại, do đó không ảnh hưởng đến mạng không dây dưới bất kỳ hình thức nào.

Lỗi điều khiển

Môi trường thử nghiệm sử dụng hai bộ điều khiển Wi-Fi 6 (Active/StandBy) và điểm truy cập có kết nối trực tiếp với cả hai bộ điều khiển.

Một bộ điều khiển không dây đang hoạt động và bộ điều khiển còn lại tương ứng là dự phòng. Nếu bộ điều khiển hoạt động bị lỗi, bộ điều khiển dự phòng sẽ tiếp quản và trạng thái của nó sẽ chuyển sang hoạt động. Quy trình này diễn ra mà không bị gián đoạn đối với điểm truy cập và Wi-Fi cho khách hàng.

Безопасность

Phần này thảo luận về các khía cạnh bảo mật, một vấn đề cực kỳ cấp bách trong mạng không dây. Tính bảo mật của giải pháp được đánh giá dựa trên các đặc điểm sau:

• Công nhận ứng dụng;
• Theo dõi dòng chảy;
• Phân tích lưu lượng được mã hóa;
• Phát hiện và ngăn chặn xâm nhập;
• Phương tiện xác thực;
• Công cụ bảo vệ thiết bị khách hàng.

Nhận dạng ứng dụng

Trong số các sản phẩm đa dạng trên thị trường Wi-Fi dành cho doanh nghiệp và công nghiệp, có sự khác biệt về mức độ hiệu quả của các sản phẩm xác định lưu lượng truy cập theo ứng dụng. Các sản phẩm từ các nhà sản xuất khác nhau có thể xác định số lượng ứng dụng khác nhau. Tuy nhiên, trên thực tế, nhiều ứng dụng mà các giải pháp cạnh tranh liệt kê có thể nhận dạng được là các trang web chứ không phải các ứng dụng duy nhất.

Có một tính năng thú vị khác của nhận dạng ứng dụng: các giải pháp có độ chính xác nhận dạng rất khác nhau.

Xem xét tất cả các thử nghiệm đã thực hiện, chúng tôi có thể tuyên bố một cách có trách nhiệm rằng giải pháp Wi-Fi-6 của Cisco thực hiện nhận dạng ứng dụng rất chính xác: Jabber, Netflix, Dropbox, YouTube và các ứng dụng phổ biến khác cũng như các dịch vụ web đã được xác định chính xác. Các giải pháp của Cisco cũng có thể đi sâu hơn vào các gói dữ liệu bằng cách sử dụng DPI (Kiểm tra gói sâu).

Theo dõi lưu lượng giao thông

Một thử nghiệm khác đã được tiến hành để xem liệu hệ thống có thể theo dõi và báo cáo chính xác các luồng dữ liệu hay không (chẳng hạn như chuyển động của tệp lớn). Để kiểm tra điều này, một tệp 6,5 megabyte đã được gửi qua mạng bằng Giao thức truyền tệp (FTP).

Giải pháp của Cisco đã hoàn thành nhiệm vụ và có thể theo dõi lưu lượng truy cập này nhờ NetFlow và các khả năng phần cứng của nó. Lưu lượng truy cập được phát hiện và xác định ngay lập tức với lượng dữ liệu được truyền chính xác.

Phân tích lưu lượng được mã hóa

Lưu lượng dữ liệu người dùng ngày càng được mã hóa. Điều này được thực hiện để bảo vệ nó khỏi bị theo dõi hoặc chặn bởi những kẻ tấn công. Nhưng đồng thời, tin tặc ngày càng sử dụng mã hóa để ẩn phần mềm độc hại của chúng và thực hiện các hoạt động đáng ngờ khác như tấn công Man-in-the-Middle (MiTM) hoặc keylogging.

Hầu hết các doanh nghiệp kiểm tra một số lưu lượng truy cập được mã hóa của họ bằng cách giải mã nó trước tiên bằng cách sử dụng tường lửa hoặc hệ thống ngăn chặn xâm nhập. Nhưng quá trình này mất nhiều thời gian và không mang lại lợi ích cho toàn bộ hiệu suất của mạng. Ngoài ra, một khi được giải mã, dữ liệu này sẽ trở nên dễ bị tấn công bởi những con mắt tò mò.

Bộ điều khiển Cisco Catalyst 9800 Series giải quyết thành công vấn đề phân tích lưu lượng được mã hóa bằng các phương tiện khác. Giải pháp được gọi là Phân tích lưu lượng truy cập được mã hóa (ETA). ETA là công nghệ hiện không có giải pháp tương tự trong các giải pháp cạnh tranh và có thể phát hiện phần mềm độc hại trong lưu lượng được mã hóa mà không cần giải mã. ETA là tính năng cốt lõi của iOS-XE bao gồm NetFlow nâng cao và sử dụng các thuật toán hành vi nâng cao để xác định các mẫu lưu lượng truy cập độc hại ẩn trong lưu lượng được mã hóa.

ETA không giải mã tin nhắn nhưng thu thập hồ sơ siêu dữ liệu của các luồng lưu lượng được mã hóa - kích thước gói, khoảng thời gian giữa các gói, v.v. Sau đó, siêu dữ liệu được xuất trong bản ghi NetFlow v9 sang Cisco Stealthwatch.

Chức năng chính của Stealthwatch là liên tục giám sát lưu lượng truy cập cũng như tạo đường cơ sở cho hoạt động mạng bình thường. Sử dụng siêu dữ liệu luồng được mã hóa do ETA gửi tới, Stealthwatch áp dụng công nghệ học máy nhiều lớp để xác định các hành vi bất thường về lưu lượng truy cập có thể chỉ ra các sự kiện đáng ngờ.

Năm ngoái, Cisco đã hợp tác với Miercom để đánh giá độc lập giải pháp Phân tích lưu lượng truy cập được mã hóa của Cisco. Trong quá trình đánh giá này, Miercom đã gửi riêng các mối đe dọa đã biết và chưa biết (vi-rút, Trojan, ransomware) trong lưu lượng truy cập được mã hóa và không được mã hóa trên các mạng ETA và không phải ETA lớn để xác định các mối đe dọa.

Để thử nghiệm, mã độc đã được tung ra trên cả hai mạng. Trong cả hai trường hợp, hoạt động đáng ngờ dần dần bị phát hiện. Mạng ETA ban đầu phát hiện các mối đe dọa nhanh hơn 36% so với mạng không phải ETA. Đồng thời, khi công việc tiến triển, năng suất phát hiện trong mạng ETA bắt đầu tăng lên. Kết quả là, sau vài giờ làm việc, XNUMX/XNUMX mối đe dọa đang hoạt động đã được phát hiện thành công trong mạng ETA, nhiều gấp đôi so với mạng không phải ETA.

Chức năng ETA được tích hợp tốt với Stealthwatch. Các mối đe dọa được xếp hạng theo mức độ nghiêm trọng và được hiển thị cùng với thông tin chi tiết cũng như các tùy chọn khắc phục sau khi được xác nhận. Kết luận – ETA hoạt động!

Phát hiện và ngăn chặn xâm nhập

Cisco hiện có một công cụ bảo mật hiệu quả khác - Hệ thống ngăn chặn xâm nhập không dây nâng cao của Cisco (aWIPS): một cơ chế phát hiện và ngăn chặn các mối đe dọa đối với mạng không dây. Giải pháp aWIPS hoạt động ở cấp độ bộ điều khiển, điểm truy cập và phần mềm quản lý Trung tâm Cisco DNA. Phát hiện, cảnh báo và ngăn chặn mối đe dọa kết hợp phân tích lưu lượng mạng, thiết bị mạng và thông tin cấu trúc liên kết mạng, kỹ thuật dựa trên chữ ký và phát hiện bất thường để cung cấp các mối đe dọa không dây có độ chính xác cao và có thể phòng ngừa được.

Tích hợp đầy đủ aWIPS vào cơ sở hạ tầng mạng của bạn, bạn có thể liên tục giám sát lưu lượng không dây trên cả mạng có dây và không dây, đồng thời sử dụng nó để tự động phân tích các cuộc tấn công tiềm ẩn từ nhiều nguồn nhằm cung cấp khả năng phát hiện và ngăn chặn toàn diện nhất có thể.

Phương tiện xác thực

Hiện tại, ngoài các công cụ xác thực cổ điển, các giải pháp dòng Cisco Catalyst 9800 còn hỗ trợ WPA3. WPA3 là phiên bản mới nhất của WPA, là tập hợp các giao thức và công nghệ cung cấp xác thực và mã hóa cho mạng Wi-Fi.

WPA3 sử dụng Xác thực đồng thời bằng (SAE) để cung cấp khả năng bảo vệ mạnh mẽ nhất cho người dùng trước các nỗ lực đoán mật khẩu của bên thứ ba. Khi một máy khách kết nối với một điểm truy cập, nó sẽ thực hiện trao đổi SAE. Nếu thành công, mỗi người trong số họ sẽ tạo một khóa mật mã mạnh để lấy khóa phiên và sau đó họ sẽ chuyển sang trạng thái xác nhận. Sau đó, máy khách và điểm truy cập có thể nhập trạng thái bắt tay mỗi khi cần tạo khóa phiên. Phương pháp này sử dụng bí mật chuyển tiếp, trong đó kẻ tấn công có thể bẻ khóa một khóa chứ không thể bẻ khóa tất cả các khóa khác.

Nghĩa là, SAE được thiết kế theo cách mà kẻ tấn công chặn lưu lượng truy cập chỉ có một lần thử đoán mật khẩu trước khi dữ liệu bị chặn trở nên vô dụng. Để tổ chức khôi phục mật khẩu dài, bạn sẽ cần quyền truy cập vật lý vào điểm truy cập.

Bảo vệ thiết bị khách hàng

Các giải pháp không dây Cisco Catalyst 9800 Series hiện cung cấp khả năng bảo vệ khách hàng cốt lõi thông qua Cisco Umbrella WLAN, một dịch vụ bảo mật mạng dựa trên đám mây hoạt động ở cấp DNS với tính năng tự động phát hiện cả các mối đe dọa đã biết và mới nổi.

Cisco Umbrella WLAN cung cấp cho các thiết bị khách kết nối Internet an toàn. Điều này đạt được thông qua lọc nội dung, nghĩa là bằng cách chặn quyền truy cập vào các tài nguyên trên Internet theo chính sách của doanh nghiệp. Do đó, các thiết bị khách trên Internet được bảo vệ khỏi phần mềm độc hại, phần mềm tống tiền và lừa đảo. Việc thực thi chính sách dựa trên 60 danh mục nội dung được cập nhật liên tục.

Tự động hóa

Mạng không dây ngày nay linh hoạt và phức tạp hơn nhiều, vì vậy các phương pháp định cấu hình và truy xuất thông tin truyền thống từ bộ điều khiển không dây là không đủ. Quản trị viên mạng và chuyên gia bảo mật thông tin yêu cầu các công cụ tự động hóa và phân tích, khiến các nhà cung cấp dịch vụ không dây cung cấp các công cụ đó.

Để giải quyết những vấn đề này, bộ điều khiển không dây dòng Cisco Catalyst 9800, cùng với API truyền thống, cung cấp hỗ trợ cho giao thức cấu hình mạng RESTCONF / NETCONF với ngôn ngữ mô hình hóa dữ liệu YANG (Yet Another Next Generation).

NETCONF là giao thức dựa trên XML mà các ứng dụng có thể sử dụng để truy vấn thông tin và thay đổi cấu hình của các thiết bị mạng như bộ điều khiển không dây.

Ngoài các phương pháp này, Bộ điều khiển Cisco Catalyst 9800 Series còn cung cấp khả năng thu thập, truy xuất và phân tích dữ liệu luồng thông tin bằng giao thức NetFlow và sFlow.

Đối với mô hình hóa lưu lượng và bảo mật, khả năng theo dõi các luồng cụ thể là một công cụ có giá trị. Để giải quyết vấn đề này, giao thức sFlow đã được triển khai, cho phép bạn chụp hai gói trong số hàng trăm gói. Tuy nhiên, đôi khi điều này có thể không đủ để phân tích và nghiên cứu, đánh giá dòng chảy một cách đầy đủ. Do đó, một giải pháp thay thế là NetFlow, do Cisco triển khai, cho phép bạn thu thập và xuất 100% tất cả các gói theo một luồng cụ thể để phân tích tiếp theo.

Tuy nhiên, một tính năng khác chỉ khả dụng khi triển khai phần cứng của bộ điều khiển, cho phép bạn tự động hóa hoạt động của mạng không dây trong bộ điều khiển dòng Cisco Catalyst 9800, là hỗ trợ tích hợp cho ngôn ngữ Python như một tiện ích bổ sung để sử dụng. tập lệnh trực tiếp trên chính bộ điều khiển không dây.

Cuối cùng, Bộ điều khiển Cisco Catalyst 9800 Series hỗ trợ giao thức SNMP phiên bản 1, 2 và 3 đã được chứng minh để giám sát và quản lý các hoạt động.

Do đó, về mặt tự động hóa, các giải pháp Cisco Catalyst 9800 Series đáp ứng đầy đủ các yêu cầu kinh doanh hiện đại, cung cấp các công cụ mới và độc đáo cũng như đã được thử nghiệm theo thời gian cho các hoạt động và phân tích tự động trong mạng không dây ở mọi quy mô và độ phức tạp.

Kết luận

Trong các giải pháp dựa trên Bộ điều khiển dòng Cisco Catalyst 9800, Cisco đã thể hiện kết quả xuất sắc về các hạng mục có tính sẵn sàng cao, bảo mật và tự động hóa.

Giải pháp này đáp ứng đầy đủ tất cả các yêu cầu về tính sẵn sàng cao như chuyển đổi dự phòng dưới giây trong các sự kiện ngoài kế hoạch và không có thời gian ngừng hoạt động đối với các sự kiện đã lên lịch.

Bộ điều khiển Cisco Catalyst 9800 Series cung cấp khả năng bảo mật toàn diện, cung cấp khả năng kiểm tra gói sâu để nhận dạng và kiểm soát ứng dụng, hiển thị đầy đủ các luồng dữ liệu và xác định các mối đe dọa ẩn trong lưu lượng được mã hóa cũng như các cơ chế bảo mật và xác thực nâng cao cho thiết bị khách.

Để tự động hóa và phân tích, Cisco Catalyst 9800 Series cung cấp các khả năng mạnh mẽ bằng cách sử dụng các mô hình tiêu chuẩn phổ biến: YANG, NETCONF, RESTCONF, API truyền thống và tập lệnh Python tích hợp.

Như vậy, Cisco một lần nữa khẳng định vị thế là nhà sản xuất giải pháp mạng hàng đầu thế giới, theo kịp thời đại và tính đến mọi thách thức của kinh doanh hiện đại.

Để biết thêm thông tin về dòng Switch Catalyst, hãy truy cập website cisco.

Nguồn: www.habr.com

Năm 2019, công ty tư vấn Miercom đã tiến hành đánh giá công nghệ độc lập về bộ điều khiển Wi-Fi 6 của dòng Cisco Catalyst 9800. Đối với nghiên cứu này, một băng ghế thử nghiệm đã được lắp ráp từ các bộ điều khiển và điểm truy cập Cisco Wi-Fi 6, đồng thời giải pháp kỹ thuật đã được đưa ra. đánh giá ở các hạng mục sau:

• Khả dụng;
• An ninh;
• Tự động hóa.

Kết quả nghiên cứu được trình bày dưới đây. Kể từ năm 2019, chức năng của bộ điều khiển dòng Cisco Catalyst 9800 đã được cải thiện đáng kể - những điểm này cũng được phản ánh trong bài viết này.

Bạn có thể đọc về những ưu điểm khác của công nghệ Wi-Fi 6, ví dụ về cách triển khai và lĩnh vực ứng dụng đây.

Tổng quan về giải pháp

Bộ điều khiển Wi-Fi 6 dòng Cisco Catalyst 9800

Bộ điều khiển không dây Cisco Catalyst 9800 Series, dựa trên hệ điều hành IOS-XE (cũng được sử dụng cho bộ chuyển mạch và bộ định tuyến của Cisco), có sẵn nhiều tùy chọn.

Model cũ hơn của bộ điều khiển 9800-80 hỗ trợ thông lượng mạng không dây lên tới 80 Gbps. Một bộ điều khiển 9800-80 hỗ trợ tới 6000 điểm truy cập và tối đa 64 máy khách không dây.

Model tầm trung, bộ điều khiển 9800-40, hỗ trợ thông lượng lên tới 40 Gbps, lên tới 2000 điểm truy cập và lên tới 32 máy khách không dây.

Ngoài các mẫu này, phân tích cạnh tranh còn bao gồm bộ điều khiển không dây 9800-CL (CL là viết tắt của Cloud). 9800-CL chạy trong môi trường ảo trên các bộ ảo hóa VMWare ESXI và KVM và hiệu suất của nó phụ thuộc vào tài nguyên phần cứng chuyên dụng cho máy ảo điều khiển. Ở cấu hình tối đa, bộ điều khiển Cisco 9800-CL, giống như model 9800-80 cũ hơn, hỗ trợ khả năng mở rộng lên tới 6000 điểm truy cập và tối đa 64 máy khách không dây.

Khi tiến hành nghiên cứu với bộ điều khiển, các điểm truy cập dòng Cisco Aironet AP 4800 đã được sử dụng, hỗ trợ hoạt động ở tần số 2,4 và 5 GHz với khả năng tự động chuyển sang chế độ 5 GHz kép.

Kiểm tra đứng

Là một phần của thử nghiệm, một giá đỡ được lắp ráp từ hai bộ điều khiển không dây Cisco Catalyst 9800-CL hoạt động trong một cụm và các điểm truy cập dòng Cisco Aironet AP 4800.

Máy tính xách tay của Dell và Apple, cũng như điện thoại thông minh iPhone của Apple, được sử dụng làm thiết bị khách.

Kiểm tra khả năng truy cập

Tính sẵn sàng được định nghĩa là khả năng người dùng truy cập và sử dụng hệ thống hoặc dịch vụ. Tính sẵn sàng cao ngụ ý quyền truy cập liên tục vào hệ thống hoặc dịch vụ, không phụ thuộc vào các sự kiện nhất định.

Tính khả dụng cao đã được thử nghiệm trong bốn kịch bản, ba kịch bản đầu tiên là các sự kiện có thể dự đoán hoặc được lên lịch có thể xảy ra trong hoặc sau giờ làm việc. Kịch bản thứ năm là một thất bại kinh điển, là một sự kiện khó lường.

Mô tả các tình huống:

• Sửa lỗi – một bản cập nhật vi mô của hệ thống (sửa lỗi hoặc bản vá bảo mật), cho phép bạn sửa một lỗi hoặc lỗ hổng cụ thể mà không cần cập nhật hoàn chỉnh phần mềm hệ thống;
• Cập nhật chức năng – thêm hoặc mở rộng chức năng hiện tại của hệ thống bằng cách cài đặt các bản cập nhật chức năng;
• Cập nhật đầy đủ – cập nhật hình ảnh phần mềm điều khiển;
• Thêm điểm truy cập – thêm mô hình điểm truy cập mới vào mạng không dây mà không cần cấu hình lại hoặc cập nhật phần mềm bộ điều khiển không dây;
• Thất bại—lỗi của bộ điều khiển không dây.

Sửa lỗi và lỗ hổng

Thông thường, với nhiều giải pháp cạnh tranh, việc vá lỗi yêu cầu cập nhật phần mềm hoàn chỉnh của hệ thống bộ điều khiển không dây, điều này có thể dẫn đến thời gian ngừng hoạt động ngoài dự kiến. Trong trường hợp giải pháp của Cisco, việc vá lỗi được thực hiện mà không cần dừng sản phẩm. Các bản vá có thể được cài đặt trên bất kỳ thành phần nào trong khi cơ sở hạ tầng không dây tiếp tục hoạt động.

Thủ tục này khá đơn giản. Tệp vá lỗi được sao chép vào thư mục bootstrap trên một trong các bộ điều khiển không dây của Cisco và sau đó hoạt động được xác nhận thông qua GUI hoặc dòng lệnh. Ngoài ra, bạn cũng có thể hoàn tác và xóa bản sửa lỗi thông qua GUI hoặc dòng lệnh mà không làm gián đoạn hoạt động của hệ thống.

Cập nhật chức năng

Các bản cập nhật phần mềm chức năng được áp dụng để kích hoạt các tính năng mới. Một trong những cải tiến này là cập nhật cơ sở dữ liệu chữ ký ứng dụng. Gói này đã được cài đặt trên bộ điều khiển của Cisco dưới dạng thử nghiệm. Cũng giống như các bản vá, các bản cập nhật tính năng được áp dụng, cài đặt hoặc xóa mà không có bất kỳ thời gian ngừng hoạt động hoặc gián đoạn hệ thống nào.

Hoàn thành cập nhật

Hiện tại, việc cập nhật đầy đủ hình ảnh phần mềm bộ điều khiển được thực hiện giống như cập nhật chức năng, nghĩa là không có thời gian ngừng hoạt động. Tuy nhiên, tính năng này chỉ khả dụng trong cấu hình cụm khi có nhiều bộ điều khiển. Một bản cập nhật hoàn chỉnh được thực hiện tuần tự: đầu tiên trên một bộ điều khiển, sau đó trên bộ điều khiển thứ hai.

Thêm mô hình điểm truy cập mới

Kết nối các điểm truy cập mới mà trước đây chưa được vận hành bằng image phần mềm điều khiển được sử dụng với mạng không dây là một thao tác khá phổ biến, đặc biệt là trong các mạng lớn (sân bay, khách sạn, nhà máy). Khá thường xuyên trong các giải pháp của đối thủ cạnh tranh, thao tác này yêu cầu cập nhật phần mềm hệ thống hoặc khởi động lại bộ điều khiển.

Khi kết nối các điểm truy cập Wi-Fi 6 mới với một cụm bộ điều khiển dòng Cisco Catalyst 9800, không có vấn đề nào như vậy được quan sát thấy. Việc kết nối các điểm mới với bộ điều khiển được thực hiện mà không cần cập nhật phần mềm bộ điều khiển và quá trình này không yêu cầu khởi động lại, do đó không ảnh hưởng đến mạng không dây dưới bất kỳ hình thức nào.

Lỗi điều khiển

Môi trường thử nghiệm sử dụng hai bộ điều khiển Wi-Fi 6 (Active/StandBy) và điểm truy cập có kết nối trực tiếp với cả hai bộ điều khiển.

Một bộ điều khiển không dây đang hoạt động và bộ điều khiển còn lại tương ứng là dự phòng. Nếu bộ điều khiển hoạt động bị lỗi, bộ điều khiển dự phòng sẽ tiếp quản và trạng thái của nó sẽ chuyển sang hoạt động. Quy trình này diễn ra mà không bị gián đoạn đối với điểm truy cập và Wi-Fi cho khách hàng.

Безопасность

Phần này thảo luận về các khía cạnh bảo mật, một vấn đề cực kỳ cấp bách trong mạng không dây. Tính bảo mật của giải pháp được đánh giá dựa trên các đặc điểm sau:

• Công nhận ứng dụng;
• Theo dõi dòng chảy;
• Phân tích lưu lượng được mã hóa;
• Phát hiện và ngăn chặn xâm nhập;
• Phương tiện xác thực;
• Công cụ bảo vệ thiết bị khách hàng.

Nhận dạng ứng dụng

Trong số các sản phẩm đa dạng trên thị trường Wi-Fi dành cho doanh nghiệp và công nghiệp, có sự khác biệt về mức độ hiệu quả của các sản phẩm xác định lưu lượng truy cập theo ứng dụng. Các sản phẩm từ các nhà sản xuất khác nhau có thể xác định số lượng ứng dụng khác nhau. Tuy nhiên, trên thực tế, nhiều ứng dụng mà các giải pháp cạnh tranh liệt kê có thể nhận dạng được là các trang web chứ không phải các ứng dụng duy nhất.

Có một tính năng thú vị khác của nhận dạng ứng dụng: các giải pháp có độ chính xác nhận dạng rất khác nhau.

Xem xét tất cả các thử nghiệm đã thực hiện, chúng tôi có thể tuyên bố một cách có trách nhiệm rằng giải pháp Wi-Fi-6 của Cisco thực hiện nhận dạng ứng dụng rất chính xác: Jabber, Netflix, Dropbox, YouTube và các ứng dụng phổ biến khác cũng như các dịch vụ web đã được xác định chính xác. Các giải pháp của Cisco cũng có thể đi sâu hơn vào các gói dữ liệu bằng cách sử dụng DPI (Kiểm tra gói sâu).

Theo dõi lưu lượng giao thông

Một thử nghiệm khác đã được tiến hành để xem liệu hệ thống có thể theo dõi và báo cáo chính xác các luồng dữ liệu hay không (chẳng hạn như chuyển động của tệp lớn). Để kiểm tra điều này, một tệp 6,5 megabyte đã được gửi qua mạng bằng Giao thức truyền tệp (FTP).

Giải pháp của Cisco đã hoàn thành nhiệm vụ và có thể theo dõi lưu lượng truy cập này nhờ NetFlow và các khả năng phần cứng của nó. Lưu lượng truy cập được phát hiện và xác định ngay lập tức với lượng dữ liệu được truyền chính xác.

Phân tích lưu lượng được mã hóa

Lưu lượng dữ liệu người dùng ngày càng được mã hóa. Điều này được thực hiện để bảo vệ nó khỏi bị theo dõi hoặc chặn bởi những kẻ tấn công. Nhưng đồng thời, tin tặc ngày càng sử dụng mã hóa để ẩn phần mềm độc hại của chúng và thực hiện các hoạt động đáng ngờ khác như tấn công Man-in-the-Middle (MiTM) hoặc keylogging.

Hầu hết các doanh nghiệp kiểm tra một số lưu lượng truy cập được mã hóa của họ bằng cách giải mã nó trước tiên bằng cách sử dụng tường lửa hoặc hệ thống ngăn chặn xâm nhập. Nhưng quá trình này mất nhiều thời gian và không mang lại lợi ích cho toàn bộ hiệu suất của mạng. Ngoài ra, một khi được giải mã, dữ liệu này sẽ trở nên dễ bị tấn công bởi những con mắt tò mò.

Bộ điều khiển Cisco Catalyst 9800 Series giải quyết thành công vấn đề phân tích lưu lượng được mã hóa bằng các phương tiện khác. Giải pháp được gọi là Phân tích lưu lượng truy cập được mã hóa (ETA). ETA là công nghệ hiện không có giải pháp tương tự trong các giải pháp cạnh tranh và có thể phát hiện phần mềm độc hại trong lưu lượng được mã hóa mà không cần giải mã. ETA là tính năng cốt lõi của iOS-XE bao gồm NetFlow nâng cao và sử dụng các thuật toán hành vi nâng cao để xác định các mẫu lưu lượng truy cập độc hại ẩn trong lưu lượng được mã hóa.

ETA không giải mã tin nhắn nhưng thu thập hồ sơ siêu dữ liệu của các luồng lưu lượng được mã hóa - kích thước gói, khoảng thời gian giữa các gói, v.v. Sau đó, siêu dữ liệu được xuất trong bản ghi NetFlow v9 sang Cisco Stealthwatch.

Chức năng chính của Stealthwatch là liên tục giám sát lưu lượng truy cập cũng như tạo đường cơ sở cho hoạt động mạng bình thường. Sử dụng siêu dữ liệu luồng được mã hóa do ETA gửi tới, Stealthwatch áp dụng công nghệ học máy nhiều lớp để xác định các hành vi bất thường về lưu lượng truy cập có thể chỉ ra các sự kiện đáng ngờ.

Năm ngoái, Cisco đã hợp tác với Miercom để đánh giá độc lập giải pháp Phân tích lưu lượng truy cập được mã hóa của Cisco. Trong quá trình đánh giá này, Miercom đã gửi riêng các mối đe dọa đã biết và chưa biết (vi-rút, Trojan, ransomware) trong lưu lượng truy cập được mã hóa và không được mã hóa trên các mạng ETA và không phải ETA lớn để xác định các mối đe dọa.

Để thử nghiệm, mã độc đã được tung ra trên cả hai mạng. Trong cả hai trường hợp, hoạt động đáng ngờ dần dần bị phát hiện. Mạng ETA ban đầu phát hiện các mối đe dọa nhanh hơn 36% so với mạng không phải ETA. Đồng thời, khi công việc tiến triển, năng suất phát hiện trong mạng ETA bắt đầu tăng lên. Kết quả là, sau vài giờ làm việc, XNUMX/XNUMX mối đe dọa đang hoạt động đã được phát hiện thành công trong mạng ETA, nhiều gấp đôi so với mạng không phải ETA.

Chức năng ETA được tích hợp tốt với Stealthwatch. Các mối đe dọa được xếp hạng theo mức độ nghiêm trọng và được hiển thị cùng với thông tin chi tiết cũng như các tùy chọn khắc phục sau khi được xác nhận. Kết luận – ETA hoạt động!

Phát hiện và ngăn chặn xâm nhập

Cisco hiện có một công cụ bảo mật hiệu quả khác - Hệ thống ngăn chặn xâm nhập không dây nâng cao của Cisco (aWIPS): một cơ chế phát hiện và ngăn chặn các mối đe dọa đối với mạng không dây. Giải pháp aWIPS hoạt động ở cấp độ bộ điều khiển, điểm truy cập và phần mềm quản lý Trung tâm Cisco DNA. Phát hiện, cảnh báo và ngăn chặn mối đe dọa kết hợp phân tích lưu lượng mạng, thiết bị mạng và thông tin cấu trúc liên kết mạng, kỹ thuật dựa trên chữ ký và phát hiện bất thường để cung cấp các mối đe dọa không dây có độ chính xác cao và có thể phòng ngừa được.

Tích hợp đầy đủ aWIPS vào cơ sở hạ tầng mạng của bạn, bạn có thể liên tục giám sát lưu lượng không dây trên cả mạng có dây và không dây, đồng thời sử dụng nó để tự động phân tích các cuộc tấn công tiềm ẩn từ nhiều nguồn nhằm cung cấp khả năng phát hiện và ngăn chặn toàn diện nhất có thể.

Phương tiện xác thực

Hiện tại, ngoài các công cụ xác thực cổ điển, các giải pháp dòng Cisco Catalyst 9800 còn hỗ trợ WPA3. WPA3 là phiên bản mới nhất của WPA, là tập hợp các giao thức và công nghệ cung cấp xác thực và mã hóa cho mạng Wi-Fi.

WPA3 sử dụng Xác thực đồng thời bằng (SAE) để cung cấp khả năng bảo vệ mạnh mẽ nhất cho người dùng trước các nỗ lực đoán mật khẩu của bên thứ ba. Khi một máy khách kết nối với một điểm truy cập, nó sẽ thực hiện trao đổi SAE. Nếu thành công, mỗi người trong số họ sẽ tạo một khóa mật mã mạnh để lấy khóa phiên và sau đó họ sẽ chuyển sang trạng thái xác nhận. Sau đó, máy khách và điểm truy cập có thể nhập trạng thái bắt tay mỗi khi cần tạo khóa phiên. Phương pháp này sử dụng bí mật chuyển tiếp, trong đó kẻ tấn công có thể bẻ khóa một khóa chứ không thể bẻ khóa tất cả các khóa khác.

Nghĩa là, SAE được thiết kế theo cách mà kẻ tấn công chặn lưu lượng truy cập chỉ có một lần thử đoán mật khẩu trước khi dữ liệu bị chặn trở nên vô dụng. Để tổ chức khôi phục mật khẩu dài, bạn sẽ cần quyền truy cập vật lý vào điểm truy cập.

Bảo vệ thiết bị khách hàng

Các giải pháp không dây Cisco Catalyst 9800 Series hiện cung cấp khả năng bảo vệ khách hàng cốt lõi thông qua Cisco Umbrella WLAN, một dịch vụ bảo mật mạng dựa trên đám mây hoạt động ở cấp DNS với tính năng tự động phát hiện cả các mối đe dọa đã biết và mới nổi.

Cisco Umbrella WLAN cung cấp cho các thiết bị khách kết nối Internet an toàn. Điều này đạt được thông qua lọc nội dung, nghĩa là bằng cách chặn quyền truy cập vào các tài nguyên trên Internet theo chính sách của doanh nghiệp. Do đó, các thiết bị khách trên Internet được bảo vệ khỏi phần mềm độc hại, phần mềm tống tiền và lừa đảo. Việc thực thi chính sách dựa trên 60 danh mục nội dung được cập nhật liên tục.

Tự động hóa

Mạng không dây ngày nay linh hoạt và phức tạp hơn nhiều, vì vậy các phương pháp định cấu hình và truy xuất thông tin truyền thống từ bộ điều khiển không dây là không đủ. Quản trị viên mạng và chuyên gia bảo mật thông tin yêu cầu các công cụ tự động hóa và phân tích, khiến các nhà cung cấp dịch vụ không dây cung cấp các công cụ đó.

Để giải quyết những vấn đề này, bộ điều khiển không dây dòng Cisco Catalyst 9800, cùng với API truyền thống, cung cấp hỗ trợ cho giao thức cấu hình mạng RESTCONF / NETCONF với ngôn ngữ mô hình hóa dữ liệu YANG (Yet Another Next Generation).

NETCONF là giao thức dựa trên XML mà các ứng dụng có thể sử dụng để truy vấn thông tin và thay đổi cấu hình của các thiết bị mạng như bộ điều khiển không dây.

Ngoài các phương pháp này, Bộ điều khiển Cisco Catalyst 9800 Series còn cung cấp khả năng thu thập, truy xuất và phân tích dữ liệu luồng thông tin bằng giao thức NetFlow và sFlow.

Đối với mô hình hóa lưu lượng và bảo mật, khả năng theo dõi các luồng cụ thể là một công cụ có giá trị. Để giải quyết vấn đề này, giao thức sFlow đã được triển khai, cho phép bạn chụp hai gói trong số hàng trăm gói. Tuy nhiên, đôi khi điều này có thể không đủ để phân tích và nghiên cứu, đánh giá dòng chảy một cách đầy đủ. Do đó, một giải pháp thay thế là NetFlow, do Cisco triển khai, cho phép bạn thu thập và xuất 100% tất cả các gói theo một luồng cụ thể để phân tích tiếp theo.

Tuy nhiên, một tính năng khác chỉ khả dụng khi triển khai phần cứng của bộ điều khiển, cho phép bạn tự động hóa hoạt động của mạng không dây trong bộ điều khiển dòng Cisco Catalyst 9800, là hỗ trợ tích hợp cho ngôn ngữ Python như một tiện ích bổ sung để sử dụng. tập lệnh trực tiếp trên chính bộ điều khiển không dây.

Cuối cùng, Bộ điều khiển Cisco Catalyst 9800 Series hỗ trợ giao thức SNMP phiên bản 1, 2 và 3 đã được chứng minh để giám sát và quản lý các hoạt động.

Do đó, về mặt tự động hóa, các giải pháp Cisco Catalyst 9800 Series đáp ứng đầy đủ các yêu cầu kinh doanh hiện đại, cung cấp các công cụ mới và độc đáo cũng như đã được thử nghiệm theo thời gian cho các hoạt động và phân tích tự động trong mạng không dây ở mọi quy mô và độ phức tạp.

Kết luận

Trong các giải pháp dựa trên Bộ điều khiển dòng Cisco Catalyst 9800, Cisco đã thể hiện kết quả xuất sắc về các hạng mục có tính sẵn sàng cao, bảo mật và tự động hóa.

Giải pháp này đáp ứng đầy đủ tất cả các yêu cầu về tính sẵn sàng cao như chuyển đổi dự phòng dưới giây trong các sự kiện ngoài kế hoạch và không có thời gian ngừng hoạt động đối với các sự kiện đã lên lịch.

Bộ điều khiển Cisco Catalyst 9800 Series cung cấp khả năng bảo mật toàn diện, cung cấp khả năng kiểm tra gói sâu để nhận dạng và kiểm soát ứng dụng, hiển thị đầy đủ các luồng dữ liệu và xác định các mối đe dọa ẩn trong lưu lượng được mã hóa cũng như các cơ chế bảo mật và xác thực nâng cao cho thiết bị khách.

Để tự động hóa và phân tích, Cisco Catalyst 9800 Series cung cấp các khả năng mạnh mẽ bằng cách sử dụng các mô hình tiêu chuẩn phổ biến: YANG, NETCONF, RESTCONF, API truyền thống và tập lệnh Python tích hợp.

Như vậy, Cisco một lần nữa khẳng định vị thế là nhà sản xuất giải pháp mạng hàng đầu thế giới, theo kịp thời đại và tính đến mọi thách thức của kinh doanh hiện đại.

Để biết thêm thông tin về dòng Switch Catalyst, hãy truy cập website cisco.

Nguồn: www.habr.com