主持人 > 博客 > 管理 > 如果您有控制器,沒問題:如何輕鬆維護您的無線網絡

如果您有控制器,沒問題:如何輕鬆維護您的無線網絡

2019年,顧問公司Miercom對思科Catalyst 6系列Wi-Fi 9800控制器進行了獨立技術評估,本研究由思科Wi-Fi 6控制器和存取點組裝了測試台,技術方案為評估分為以下幾類:

  • 可用性;
  • 安全;
  • 自動化。

研究結果如下圖所示。 自 2019 年以來,Cisco Catalyst 9800 系列控制器的功能得到了顯著改進 - 這些點也在本文中得到了體現。

您可以閱讀 Wi-Fi 6 技術的其他優勢、實施範例和應用領域 這裡.

解決方案概述

Wi-Fi 6 控制器 Cisco Catalyst 9800 系列

Cisco Catalyst 9800 系列無線控制器基於 IOS-XE 作業系統(也用於思科交換器和路由器),有多種選項可供選擇。

如果您有控制器,沒問題:如何輕鬆維護您的無線網絡

舊型號的 9800-80 控制器支援高達 80 Gbps 的無線網路吞吐量。 一台 9800-80 控制器支援多達 6000 個存取點和多達 64 個無線用戶端。

中階型號 9800-40 控制器支援高達 40 Gbps 的吞吐量、最多 2000 個存取點和最多 32 個無線用戶端。

除了這些型號之外,競爭分析還包括 9800-CL 無線控制器(CL 代表雲端)。 9800-CL在VMWare ESXI和KVM管理程式的虛擬環境中運行,其效能取決於控制器虛擬機器的專用硬體資源。 在其最大配置下,Cisco 9800-CL 控制器與舊型號 9800-80 一樣,支援最多 6000 個存取點和最多 64 個無線用戶端的可擴充性。

在使用控制器進行研究時,使用了 Cisco Aironet AP 4800 系列存取點,支援在 2,4 和 5 GHz 頻率下運行,並能夠動態切換到雙 5 GHz 模式。

試驗台

作為測試的一部分,一個支架由在叢集中運行的兩個 Cisco Catalyst 9800-CL 無線控制器和 Cisco Aironet AP 4800 系列存取點組裝而成。

戴爾和蘋果的筆記型電腦以及蘋果 iPhone 智慧型手機被用作客戶端設備。

如果您有控制器,沒問題:如何輕鬆維護您的無線網絡

輔助功能測試

可用性被定義為使用者存取和使用系統或服務的能力。 高可用性意味著連續存取系統或服務,獨立於某些事件。

高可用性在四個場景中進行了測試,前三種場景是可預測或預定的事件,可能在工作時間期間或之後發生。 第五種情況是典型的失敗,這是不可預測的事件。

場景描述:

  • 錯誤修正-系統的微更新(錯誤修復或安全性修補程式),可讓您在不完全更新系統軟體的情況下修復特定錯誤或漏洞;
  • 功能更新-透過安裝功能更新來新增或擴展系統目前的功能;
  • 全面更新-更新控制器軟體鏡像;
  • 新增存取點-為無線網路新增新的存取點型號,無需重新配置或更新無線控制器軟體;
  • 故障——無線控制器故障。

修復錯誤和漏洞

通常,對於許多競爭性解決方案,修補需要對無線控制器系統進行完整的軟體更新,這可能會導致意外停機。 對於思科解決方案,修補是在不停止產品的情況下執行的。 可以在任何組件上安裝補丁,同時無線基礎設施繼續運作。

過程本身非常簡單。 補丁檔案被複製到思科無線控制器之一的引導資料夾中,然後透過 GUI 或命令列確認操作。 此外,您還可以透過 GUI 或命令列撤銷和刪除修復,而且無需中斷系統操作。

功能更新

應用功能軟體更新來啟用新功能。 其中一項改進是更新應用程式簽章資料庫。 此軟體套件作為測試安裝在 Cisco 控制器上。 就像修補程式一樣,功能更新的應用程式、安裝或刪除不會造成任何停機或系統中斷。

全面更新

目前,控制器軟體映像的完整更新以與功能更新相同的方式執行,即無需停機。 但是,此功能僅在存在多個控制器時在叢集配置中可用。 完整的更新按順序執行:首先在一個控制器上,然後在第二個控制器上。

新增新的接入點模型

將先前未使用所使用的控制器軟體映像進行操作的新存取點連接到無線網路是相當常見的操作,特別是在大型網路(機場、飯店、工廠)中。 在競爭對手的解決方案中,此操作通常需要更新系統軟體或重新啟動控制器。

將新的 Wi-Fi 6 存取點連接到 Cisco Catalyst 9800 系列控制器叢集時,沒有觀察到此類問題。 將新點連接到控制器無需更新控制器軟體,且此過程不需要重新啟動,因此不會以任何方式影響無線網路。

控制器故障

測試環境使用兩個 Wi-Fi 6 控制器(主用/備用),存取點直接連接到兩個控制器。

一個無線控制器處於活動狀態,另一個處於備用狀態。 如果主用控制器發生故障,則備用控制器將接管其狀態並將其狀態變更為「主用」。 此過程不會中斷客戶端的存取點和 Wi-Fi。

安全

本節討論安全性的各個方面,這是無線網路中極其緊迫的問題。 解決方案的安全性根據以下特徵進行評估:

  • 應用認可;
  • 流量追蹤;
  • 加密流量分析;
  • 入侵偵測和預防;
  • 認證手段;
  • 客戶端設備保護工具。

應用認可

在企業和工業 Wi-Fi 市場的各種產品中,產品以應用程式識別流量的能力存在差異。 不同製造商的產品可能會識別不同數量的應用。 然而,競爭解決方案列出的許多可用於識別的應用程式實際上是網站,而不是唯一的應用程式。

應用辨識還有一個有趣的特點:解決方案在辨識準確度上差異很大。

考慮到所執行的所有測試,我們可以負責任地聲明,思科的Wi-Fi-6 解決方案非常準確地執行應用程式識別:Jabber、Netflix、Dropbox、YouTube 和其他流行應用程式以及Web 服務均被準確識別。 思科解決方案還可以使用 DPI(深度資料包檢測)更深入地分析資料包。

交通流量追蹤

另一項測試是為了查看系統是否能夠準確追蹤和報告資料流(例如大檔案移動)。 為了測試這一點,使用檔案傳輸協定 (FTP) 透過網路發送了一個 6,5 MB 的檔案。

透過 NetFlow 及其硬體功能,思科解決方案完全能夠勝任這項任務,並且能夠追蹤此流量。 立即偵測並識別流量並傳輸準確的資料量。

加密流量分析

用戶資料流量越來越多地被加密。 這樣做是為了保護它不被攻擊者跟蹤或攔截。 但同時,駭客也越來越多地使用加密來隱藏其惡意軟體並執行其他可疑操作,例如中間人 (MiTM) 或鍵盤記錄攻擊。

大多數企業首先使用防火牆或入侵防禦系統對其進行解密來檢查其部分加密流量。 但這個過程需要花費大量時間,並且對整個網路的效能沒有好處。 此外,一旦解密,這些資料就很容易被窺探。

Cisco Catalyst 9800 系列控制器成功解決了透過其他方式分析加密流量的問題。 此解決方案稱為加密流量分析 (ETA)。 ETA 是一項目前在競爭解決方案中沒有類似技術的技術,它可以偵測加密流量中的惡意軟體,而無需對其進行解密。 ETA 是 IOS-XE 的核心功能,其中包括增強型 NetFlow,並使用進階行為演算法來識別隱藏在加密流量中的惡意流量模式。

如果您有控制器,沒問題:如何輕鬆維護您的無線網絡

ETA 不會解密訊息,而是收集加密流量的元資料設定檔 - 資料包大小、資料包之間的時間間隔等等。 然後,元資料以 NetFlow v9 記錄的形式匯出到 Cisco Stealthwatch。

Stealthwatch 的關鍵功能是持續監控流量,並建立正常網路活動的基線。 Stealthwatch 使用 ETA 發送給它的加密流元數據,應用多層機器學習來識別可能表明可疑事件的行為流量異常。

去年,思科聘請 Miercom 獨立評估其思科加密流量分析解決方案。 在此評估期間,Miercom 在大型 ETA 和非 ETA 網路上以加密和未加密流量的形式分別發送已知和未知威脅(病毒、特洛伊木馬、勒索軟體),以識別威脅。

為了進行測試,在兩個網路上都啟動了惡意程式碼。 在這兩起案件中,可疑活動都逐漸被發現。 ETA 網路最初偵測到威脅的速度比非 ETA 網路快 36%。 同時,隨著工作的進展,ETA網路中的偵測效率開始提高。 結果,經過幾個小時的工作,在 ETA 網路中成功檢測到了三分之二的主動威脅,這一數字是非 ETA 網路中的兩倍。

ETA 功能與 Stealthwatch 完美整合。 威脅按嚴重程度進行排名,並顯示詳細資訊以及確認後的補救選項。 結論-預計到達時間有效!

入侵偵測與預防

思科現在擁有另一個有效的安全工具 - 思科高階無線入侵防禦系統 (aWIPS):一種用於偵測和防止無線網路威脅的機制。 aWIPS 解決方案在控制器、存取點和 Cisco DNA Center 管理軟體層級運作。 威脅偵測、警報和預防結合了網路流量分析、網路設備和網路拓撲資訊、基於簽名的技術以及異常檢測,以提供高度準確且可預防的無線威脅。

將 aWIPS 完全整合到您的網路基礎架構中,您可以持續監控有線和無線網路上的無線流量,並使用它自動分析來自多個來源的潛在攻擊,以提供最全面的偵測和預防。

認證方式

目前,除了經典的身份驗證工具外,Cisco Catalyst 9800 系列解決方案還支援 WPA3。 WPA3 是 WPA 的最新版本,它是一組為 Wi-Fi 網路提供身份驗證和加密的協定和技術。

WPA3 使用同時驗證 (SAE) 為使用者提供最強的保護,防止第三方嘗試猜測密碼。 當客戶端連接到存取點時,它會執行 SAE 交換。 如果成功,他們每個人都將創建一個加密的強密鑰,從中派生會話密鑰,然後他們將進入確認狀態。 然後,每次需要產生會話金鑰時,用戶端和存取點都可以進入握手狀態。 此方法使用前向保密,攻擊者可以破解一個密鑰,但不能破解所有其他密鑰。

也就是說,SAE 的設計方式是,攔截流量的攻擊者只要嘗試一次猜測密碼,攔截的資料就變得無用。 要組織長密碼恢復,您需要對接入點進行實體存取。

客戶端設備保護

Cisco Catalyst 9800 系列無線解決方案目前透過 Cisco Umbrella WLAN 提供主要的客戶保護功能,Cisco Umbrella WLAN 是一種基於雲端的網路安全服務,在 DNS 層級運行,可自動偵測已知和新出現的威脅。

Cisco Umbrella WLAN 為用戶端裝置提供了與網際網路的安全連線。 這是透過內容過濾來實現的,即根據企業策略阻止對網路上資源的存取。 因此,網路上的用戶端裝置可以免受惡意軟體、勒索軟體和網路釣魚的侵害。 政策執行基於 60 個不斷更新的內容類別。

自動化

當今的無線網路更加靈活和複雜,因此從無線控制器配置和檢索資訊的傳統方法已經不夠了。 網路管理員和資訊安全專業人員需要自動化和分析工具,促使無線供應商提供此類工具。

為了解決這些問題,Cisco Catalyst 9800 系列無線控制器與傳統 API 一起,透過 YANG(又一個新一代)資料建模語言提供對 RESTCONF / NETCONF 網路設定協定的支援。

NETCONF 是一種基於 XML 的協議,應用程式可使用它來查詢資訊並更改無線控制器等網路設備的配置。

除了這些方法之外,Cisco Catalyst 9800 系列控制器還能夠使用 NetFlow 和 sFlow 協定擷取、擷取和分析資訊流資料。

對於安全性和流量建模,追蹤特定流量的能力是一個很有價值的工具。 為了解決這個問題,我們實現了 sFlow 協議,它允許您從每一百個資料包中捕獲兩個資料包。 然而,有時這可能不足以分析和充分研究和評估流程。 因此,另一種選擇是由 Cisco 實現的 NetFlow,它允許您 100% 收集並匯出指定流中的所有資料包以供後續分析。

然而,另一個功能僅在控制器的硬體實現中可用,它允許您在 Cisco Catalyst 9800 系列控制器中自動操作無線網絡,該功能是對 Python 語言的內置支持,作為使用的附加組件直接在無線控制器本身上編寫腳本。

最後,思科 Catalyst 9800 系列控制器支援經過驗證的 SNMP 版本 1、2 和 3 協議,用於監控和管理操作。

因此,在自動化方面,Cisco Catalyst 9800 系列解決方案完全滿足現代業務需求,為任何規模和複雜程度的無線網路中的自動化操作和分析提供新穎、獨特且經過時間考驗的工具。

結論

在基於Cisco Catalyst 9800系列控制器的解決方案中,思科在高可用性、安全性和自動化方面展現了出色的成果。

此解決方案完全滿足所有高可用性要求,例如計劃外事件期間的亞秒級故障轉移和計劃事件的零停機時間。

Cisco Catalyst 9800 系列控制器提供全面的安全性,可提供用於應用程式識別和控制的深度資料包偵測、資料流的完整視覺性、加密流量中隱藏威脅的識別,以及客戶端設備的高階身份驗證和安全機制。

對於自動化和分析,Cisco Catalyst 9800 系列使用流行的標準模型提供強大的功能:YANG、NETCONF、RESTCONF、傳統 API 和內建 Python 腳本。

由此,思科再次確認了其作為全球領先的網路解決方案製造商的地位,與時俱進並考慮到現代商業的所有挑戰。

有關 Catalyst 開關係列的更多信息,請訪問 在線 思科

來源: www.habr.com

添加評論

2019年,顧問公司Miercom對思科Catalyst 6系列Wi-Fi 9800控制器進行了獨立技術評估,本研究由思科Wi-Fi 6控制器和存取點組裝了測試台,技術方案為評估分為以下幾類:

  • 可用性;
  • 安全;
  • 自動化。

研究結果如下圖所示。 自 2019 年以來,Cisco Catalyst 9800 系列控制器的功能得到了顯著改進 - 這些點也在本文中得到了體現。

您可以閱讀 Wi-Fi 6 技術的其他優勢、實施範例和應用領域 這裡.

解決方案概述

Wi-Fi 6 控制器 Cisco Catalyst 9800 系列

Cisco Catalyst 9800 系列無線控制器基於 IOS-XE 作業系統(也用於思科交換器和路由器),有多種選項可供選擇。

如果您有控制器,沒問題:如何輕鬆維護您的無線網絡

舊型號的 9800-80 控制器支援高達 80 Gbps 的無線網路吞吐量。 一台 9800-80 控制器支援多達 6000 個存取點和多達 64 個無線用戶端。

中階型號 9800-40 控制器支援高達 40 Gbps 的吞吐量、最多 2000 個存取點和最多 32 個無線用戶端。

除了這些型號之外,競爭分析還包括 9800-CL 無線控制器(CL 代表雲端)。 9800-CL在VMWare ESXI和KVM管理程式的虛擬環境中運行,其效能取決於控制器虛擬機器的專用硬體資源。 在其最大配置下,Cisco 9800-CL 控制器與舊型號 9800-80 一樣,支援最多 6000 個存取點和最多 64 個無線用戶端的可擴充性。

在使用控制器進行研究時,使用了 Cisco Aironet AP 4800 系列存取點,支援在 2,4 和 5 GHz 頻率下運行,並能夠動態切換到雙 5 GHz 模式。

試驗台

作為測試的一部分,一個支架由在叢集中運行的兩個 Cisco Catalyst 9800-CL 無線控制器和 Cisco Aironet AP 4800 系列存取點組裝而成。

戴爾和蘋果的筆記型電腦以及蘋果 iPhone 智慧型手機被用作客戶端設備。

如果您有控制器,沒問題:如何輕鬆維護您的無線網絡

輔助功能測試

可用性被定義為使用者存取和使用系統或服務的能力。 高可用性意味著連續存取系統或服務,獨立於某些事件。

高可用性在四個場景中進行了測試,前三種場景是可預測或預定的事件,可能在工作時間期間或之後發生。 第五種情況是典型的失敗,這是不可預測的事件。

場景描述:

  • 錯誤修正-系統的微更新(錯誤修復或安全性修補程式),可讓您在不完全更新系統軟體的情況下修復特定錯誤或漏洞;
  • 功能更新-透過安裝功能更新來新增或擴展系統目前的功能;
  • 全面更新-更新控制器軟體鏡像;
  • 新增存取點-為無線網路新增新的存取點型號,無需重新配置或更新無線控制器軟體;
  • 故障——無線控制器故障。

修復錯誤和漏洞

通常,對於許多競爭性解決方案,修補需要對無線控制器系統進行完整的軟體更新,這可能會導致意外停機。 對於思科解決方案,修補是在不停止產品的情況下執行的。 可以在任何組件上安裝補丁,同時無線基礎設施繼續運作。

過程本身非常簡單。 補丁檔案被複製到思科無線控制器之一的引導資料夾中,然後透過 GUI 或命令列確認操作。 此外,您還可以透過 GUI 或命令列撤銷和刪除修復,而且無需中斷系統操作。

功能更新

應用功能軟體更新來啟用新功能。 其中一項改進是更新應用程式簽章資料庫。 此軟體套件作為測試安裝在 Cisco 控制器上。 就像修補程式一樣,功能更新的應用程式、安裝或刪除不會造成任何停機或系統中斷。

全面更新

目前,控制器軟體映像的完整更新以與功能更新相同的方式執行,即無需停機。 但是,此功能僅在存在多個控制器時在叢集配置中可用。 完整的更新按順序執行:首先在一個控制器上,然後在第二個控制器上。

新增新的接入點模型

將先前未使用所使用的控制器軟體映像進行操作的新存取點連接到無線網路是相當常見的操作,特別是在大型網路(機場、飯店、工廠)中。 在競爭對手的解決方案中,此操作通常需要更新系統軟體或重新啟動控制器。

將新的 Wi-Fi 6 存取點連接到 Cisco Catalyst 9800 系列控制器叢集時,沒有觀察到此類問題。 將新點連接到控制器無需更新控制器軟體,且此過程不需要重新啟動,因此不會以任何方式影響無線網路。

控制器故障

測試環境使用兩個 Wi-Fi 6 控制器(主用/備用),存取點直接連接到兩個控制器。

一個無線控制器處於活動狀態,另一個處於備用狀態。 如果主用控制器發生故障,則備用控制器將接管其狀態並將其狀態變更為「主用」。 此過程不會中斷客戶端的存取點和 Wi-Fi。

安全

本節討論安全性的各個方面,這是無線網路中極其緊迫的問題。 解決方案的安全性根據以下特徵進行評估:

  • 應用認可;
  • 流量追蹤;
  • 加密流量分析;
  • 入侵偵測和預防;
  • 認證手段;
  • 客戶端設備保護工具。

應用認可

在企業和工業 Wi-Fi 市場的各種產品中,產品以應用程式識別流量的能力存在差異。 不同製造商的產品可能會識別不同數量的應用。 然而,競爭解決方案列出的許多可用於識別的應用程式實際上是網站,而不是唯一的應用程式。

應用辨識還有一個有趣的特點:解決方案在辨識準確度上差異很大。

考慮到所執行的所有測試,我們可以負責任地聲明,思科的Wi-Fi-6 解決方案非常準確地執行應用程式識別:Jabber、Netflix、Dropbox、YouTube 和其他流行應用程式以及Web 服務均被準確識別。 思科解決方案還可以使用 DPI(深度資料包檢測)更深入地分析資料包。

交通流量追蹤

另一項測試是為了查看系統是否能夠準確追蹤和報告資料流(例如大檔案移動)。 為了測試這一點,使用檔案傳輸協定 (FTP) 透過網路發送了一個 6,5 MB 的檔案。

透過 NetFlow 及其硬體功能,思科解決方案完全能夠勝任這項任務,並且能夠追蹤此流量。 立即偵測並識別流量並傳輸準確的資料量。

加密流量分析

用戶資料流量越來越多地被加密。 這樣做是為了保護它不被攻擊者跟蹤或攔截。 但同時,駭客也越來越多地使用加密來隱藏其惡意軟體並執行其他可疑操作,例如中間人 (MiTM) 或鍵盤記錄攻擊。

大多數企業首先使用防火牆或入侵防禦系統對其進行解密來檢查其部分加密流量。 但這個過程需要花費大量時間,並且對整個網路的效能沒有好處。 此外,一旦解密,這些資料就很容易被窺探。

Cisco Catalyst 9800 系列控制器成功解決了透過其他方式分析加密流量的問題。 此解決方案稱為加密流量分析 (ETA)。 ETA 是一項目前在競爭解決方案中沒有類似技術的技術,它可以偵測加密流量中的惡意軟體,而無需對其進行解密。 ETA 是 IOS-XE 的核心功能,其中包括增強型 NetFlow,並使用進階行為演算法來識別隱藏在加密流量中的惡意流量模式。

如果您有控制器,沒問題:如何輕鬆維護您的無線網絡

ETA 不會解密訊息,而是收集加密流量的元資料設定檔 - 資料包大小、資料包之間的時間間隔等等。 然後,元資料以 NetFlow v9 記錄的形式匯出到 Cisco Stealthwatch。

Stealthwatch 的關鍵功能是持續監控流量,並建立正常網路活動的基線。 Stealthwatch 使用 ETA 發送給它的加密流元數據,應用多層機器學習來識別可能表明可疑事件的行為流量異常。

去年,思科聘請 Miercom 獨立評估其思科加密流量分析解決方案。 在此評估期間,Miercom 在大型 ETA 和非 ETA 網路上以加密和未加密流量的形式分別發送已知和未知威脅(病毒、特洛伊木馬、勒索軟體),以識別威脅。

為了進行測試,在兩個網路上都啟動了惡意程式碼。 在這兩起案件中,可疑活動都逐漸被發現。 ETA 網路最初偵測到威脅的速度比非 ETA 網路快 36%。 同時,隨著工作的進展,ETA網路中的偵測效率開始提高。 結果,經過幾個小時的工作,在 ETA 網路中成功檢測到了三分之二的主動威脅,這一數字是非 ETA 網路中的兩倍。

ETA 功能與 Stealthwatch 完美整合。 威脅按嚴重程度進行排名,並顯示詳細資訊以及確認後的補救選項。 結論-預計到達時間有效!

入侵偵測與預防

思科現在擁有另一個有效的安全工具 - 思科高階無線入侵防禦系統 (aWIPS):一種用於偵測和防止無線網路威脅的機制。 aWIPS 解決方案在控制器、存取點和 Cisco DNA Center 管理軟體層級運作。 威脅偵測、警報和預防結合了網路流量分析、網路設備和網路拓撲資訊、基於簽名的技術以及異常檢測,以提供高度準確且可預防的無線威脅。

將 aWIPS 完全整合到您的網路基礎架構中,您可以持續監控有線和無線網路上的無線流量,並使用它自動分析來自多個來源的潛在攻擊,以提供最全面的偵測和預防。

認證方式

目前,除了經典的身份驗證工具外,Cisco Catalyst 9800 系列解決方案還支援 WPA3。 WPA3 是 WPA 的最新版本,它是一組為 Wi-Fi 網路提供身份驗證和加密的協定和技術。

WPA3 使用同時驗證 (SAE) 為使用者提供最強的保護,防止第三方嘗試猜測密碼。 當客戶端連接到存取點時,它會執行 SAE 交換。 如果成功,他們每個人都將創建一個加密的強密鑰,從中派生會話密鑰,然後他們將進入確認狀態。 然後,每次需要產生會話金鑰時,用戶端和存取點都可以進入握手狀態。 此方法使用前向保密,攻擊者可以破解一個密鑰,但不能破解所有其他密鑰。

也就是說,SAE 的設計方式是,攔截流量的攻擊者只要嘗試一次猜測密碼,攔截的資料就變得無用。 要組織長密碼恢復,您需要對接入點進行實體存取。

客戶端設備保護

Cisco Catalyst 9800 系列無線解決方案目前透過 Cisco Umbrella WLAN 提供主要的客戶保護功能,Cisco Umbrella WLAN 是一種基於雲端的網路安全服務,在 DNS 層級運行,可自動偵測已知和新出現的威脅。

Cisco Umbrella WLAN 為用戶端裝置提供了與網際網路的安全連線。 這是透過內容過濾來實現的,即根據企業策略阻止對網路上資源的存取。 因此,網路上的用戶端裝置可以免受惡意軟體、勒索軟體和網路釣魚的侵害。 政策執行基於 60 個不斷更新的內容類別。

自動化

當今的無線網路更加靈活和複雜,因此從無線控制器配置和檢索資訊的傳統方法已經不夠了。 網路管理員和資訊安全專業人員需要自動化和分析工具,促使無線供應商提供此類工具。

為了解決這些問題,Cisco Catalyst 9800 系列無線控制器與傳統 API 一起,透過 YANG(又一個新一代)資料建模語言提供對 RESTCONF / NETCONF 網路設定協定的支援。

NETCONF 是一種基於 XML 的協議,應用程式可使用它來查詢資訊並更改無線控制器等網路設備的配置。

除了這些方法之外,Cisco Catalyst 9800 系列控制器還能夠使用 NetFlow 和 sFlow 協定擷取、擷取和分析資訊流資料。

對於安全性和流量建模,追蹤特定流量的能力是一個很有價值的工具。 為了解決這個問題,我們實現了 sFlow 協議,它允許您從每一百個資料包中捕獲兩個資料包。 然而,有時這可能不足以分析和充分研究和評估流程。 因此,另一種選擇是由 Cisco 實現的 NetFlow,它允許您 100% 收集並匯出指定流中的所有資料包以供後續分析。

然而,另一個功能僅在控制器的硬體實現中可用,它允許您在 Cisco Catalyst 9800 系列控制器中自動操作無線網絡,該功能是對 Python 語言的內置支持,作為使用的附加組件直接在無線控制器本身上編寫腳本。

最後,思科 Catalyst 9800 系列控制器支援經過驗證的 SNMP 版本 1、2 和 3 協議,用於監控和管理操作。

因此,在自動化方面,Cisco Catalyst 9800 系列解決方案完全滿足現代業務需求,為任何規模和複雜程度的無線網路中的自動化操作和分析提供新穎、獨特且經過時間考驗的工具。

結論

在基於Cisco Catalyst 9800系列控制器的解決方案中,思科在高可用性、安全性和自動化方面展現了出色的成果。

此解決方案完全滿足所有高可用性要求,例如計劃外事件期間的亞秒級故障轉移和計劃事件的零停機時間。

Cisco Catalyst 9800 系列控制器提供全面的安全性,可提供用於應用程式識別和控制的深度資料包偵測、資料流的完整視覺性、加密流量中隱藏威脅的識別,以及客戶端設備的高階身份驗證和安全機制。

對於自動化和分析,Cisco Catalyst 9800 系列使用流行的標準模型提供強大的功能:YANG、NETCONF、RESTCONF、傳統 API 和內建 Python 腳本。

由此,思科再次確認了其作為全球領先的網路解決方案製造商的地位,與時俱進並考慮到現代商業的所有挑戰。

有關 Catalyst 開關係列的更多信息,請訪問 在線 思科

來源: www.habr.com

添加評論