В 2019 году консалтинговая компания Miercom провела независимую технологическую оценку контроллеров Wi-Fi 6 серии Cisco Catalyst 9800. Для данного исследования был собран тестовый стенд из контроллеров и точек доступа Cisco Wi-Fi 6, а техническое решение оценивалось в следующих категориях:
- Доступность;
- Безопасность;
- Автоматизация.
С 2019 года функциональность контроллеров Cisco Catalyst серии 9800 была значительно улучшена — эти моменты также отражены в этой статье.
О других преимуществах технологии Wi-Fi 6, примерах реализации и областях применения вы можете прочитать здесь.
Здесь .
Обзор решения
Контроллеры Wi-Fi 6 серии Cisco Catalyst 9800
Беспроводные контроллеры Cisco Catalyst серии 9800 на базе операционной системы IOS-XE (также используемой в коммутаторах и маршрутизаторах Cisco) доступны в различных вариантах.
Старшая модель контроллера 9800-80 поддерживает пропускную способность беспроводной сети до 80 Гбит/с.
Один контроллер 9800-80 поддерживает до 6000 точек доступа и до 64 000 беспроводных клиентов.
Модель среднего класса, контроллер 9800-40, поддерживает пропускную способность до 40 Гбит/с, до 2000 точек доступа и до 32 000 беспроводных клиентов.
Помимо этих моделей в конкурентный анализ также был включен беспроводной контроллер 9800-CL (CL — Cloud).
9800-CL работает в виртуальных средах на гипервизорах VMWare ESXI и KVM, и его производительность зависит от выделенных аппаратных ресурсов виртуальной машины контроллера.
В максимальной конфигурации контроллер Cisco 9800-CL, как и старшая модель 9800-80, поддерживает масштабируемость до 6000 точек доступа и до 64 000 беспроводных клиентов.
При проведении исследований с контроллерами использовались точки доступа Cisco Aironet AP 4800 серии, поддерживающие работу на частотах 2,4 и 5 ГГц с возможностью динамического переключения в двойной режим 5 ГГц.
Испытательный стенд
В рамках тестирования был собран стенд из двух беспроводных контроллеров Cisco Catalyst 9800-CL, работающих в кластере, и точек доступа Cisco Aironet AP 4800 серии.
В качестве клиентских устройств использовались ноутбуки компаний Dell и Apple, а также смартфон Apple iPhone. 
Тестирование доступности
Доступность определяется как возможность пользователей получать доступ и использовать систему или услугу.Высокая доступность подразумевает постоянный доступ к системе или услуге, независимо от определенных событий.
Высокая доступность была протестирована в четырех сценариях, первые три сценария представляли собой предсказуемые или запланированные события, которые могли произойти в рабочее время или после него.
Пятый сценарий – классический провал, который является непредсказуемым событием.
Описание сценариев:
- Исправление ошибок – микрообновление системы (исправление ошибок или патч безопасности), позволяющее исправить ту или иную ошибку или уязвимость без полного обновления программного обеспечения системы;
- Функциональное обновление – добавление или расширение текущего функционала системы путем установки функциональных обновлений;
- Полное обновление – обновить образ ПО контроллера;
- Добавление точки доступа – добавление новой модели точки доступа в беспроводную сеть без необходимости перенастройки или обновления программного обеспечения беспроводного контроллера;
- Сбой — сбой беспроводного контроллера.
Исправление ошибок и уязвимостей
Зачастую для многих конкурирующих решений установка исправлений требует полного обновления программного обеспечения системы беспроводного контроллера, что может привести к незапланированному простою.В случае решения Cisco исправление выполняется без остановки продукта.
Патчи можно устанавливать на любой из компонентов, пока беспроводная инфраструктура продолжает работать.
Сама процедура довольно проста.
Файл исправления копируется в папку начальной загрузки на одном из контроллеров беспроводной сети Cisco, а затем операция подтверждается через графический интерфейс или командную строку.
Кроме того, вы также можете отменить и удалить исправление через графический интерфейс или командную строку, также не прерывая работу системы.
Функциональное обновление
Функциональные обновления программного обеспечения применяются для включения новых функций.Одним из таких улучшений является обновление базы данных сигнатур приложений.
Этот пакет был установлен на контроллерах Cisco в качестве теста.
Как и в случае с исправлениями, обновления функций применяются, устанавливаются или удаляются без простоев или перебоев в работе системы.
Полное обновление
На данный момент полное обновление образа ПО контроллера выполняется так же, как и функциональное обновление, то есть без простоя.Однако эта функция доступна только в конфигурации кластера, когда имеется более одного контроллера.
Полное обновление выполняется последовательно: сначала на одном контроллере, затем на втором.
Добавление новой модели точки доступа
Подключение к беспроводной сети новых точек доступа, которые ранее не эксплуатировались с используемым образом программного обеспечения контроллера, является достаточно распространенной операцией, особенно в крупных сетях (аэропорты, гостиницы, заводы).Довольно часто в решениях конкурентов эта операция требует обновления системного ПО или перезагрузки контроллеров.
При подключении новых точек доступа Wi-Fi 6 к кластеру контроллеров Cisco Catalyst серии 9800 подобных проблем не наблюдается.
Подключение новых точек к контроллеру осуществляется без обновления программного обеспечения контроллера и этот процесс не требует перезагрузки, тем самым никак не влияя на беспроводную сеть.
Сбой контроллера
В тестовой среде используются два контроллера Wi-Fi 6 (активный/резервный), а точка доступа имеет прямое соединение с обоими контроллерами.Один беспроводной контроллер активный, а другой, соответственно, резервный.
Если активный контроллер выходит из строя, резервный контроллер вступает во владение, и его статус меняется на активный.
Данная процедура происходит без перерыва для точки доступа и Wi-Fi для клиентов.
Безопасность
В этом разделе обсуждаются аспекты безопасности, которые являются чрезвычайно актуальной проблемой в беспроводных сетях.Безопасность решения оценивается по следующим характеристикам:
- Распознавание приложений;
- Отслеживание потока;
- Анализ зашифрованного трафика;
- Обнаружение и предотвращение вторжений;
- Средства аутентификации;
- Инструменты защиты клиентских устройств.
Распознавание приложений
Среди разнообразия продуктов на корпоративном и промышленном рынке Wi-Fi существуют различия в том, насколько хорошо продукты идентифицируют трафик по приложениям.Продукты разных производителей могут иметь разное количество применений.
Однако многие из приложений, которые конкурентные решения перечисляют как возможные для идентификации, на самом деле являются веб-сайтами, а не уникальными приложениями.
Есть еще одна интересная особенность распознавания приложений: решения сильно различаются по точности идентификации.
Принимая во внимание все проведенные тесты, можно ответственно заявить, что решение Cisco Wi-Fi-6 очень точно выполняет распознавание приложений: точно идентифицировались Jabber, Netflix, Dropbox, YouTube и другие популярные приложения, а также веб-сервисы.
Решения Cisco также могут глубже анализировать пакеты данных с помощью DPI (Deep Packet Inspection).
Отслеживание транспортных потоков
Еще одно тестирование было проведено, чтобы проверить, может ли система точно отслеживать и сообщать о потоках данных (например, о перемещениях больших файлов).Чтобы проверить это, файл размером 6,5 мегабайт был отправлен по сети с использованием протокола передачи файлов (FTP).
Решение Cisco полностью соответствовало поставленной задаче и смогло отслеживать этот трафик благодаря NetFlow и его аппаратным возможностям.
Трафик был обнаружен и немедленно идентифицирован с указанием точного объема переданных данных.
Анализ зашифрованного трафика
Трафик пользовательских данных все чаще шифруется.Это сделано для того, чтобы защитить его от отслеживания или перехвата злоумышленниками.
Но в то же время хакеры все чаще используют шифрование для сокрытия своих вредоносных программ и выполнения других сомнительных операций, таких как атаки «человек посередине» (MiTM) или атаки с использованием кейлоггеров.
Большинство предприятий проверяют часть своего зашифрованного трафика, сначала расшифровывая его с помощью межсетевых экранов или систем предотвращения вторжений.
Но этот процесс занимает много времени и не приносит пользы производительности сети в целом.
Кроме того, после расшифровки эти данные становятся уязвимы для посторонних глаз.
Контроллеры Cisco Catalyst серии 9800 успешно решают задачу анализа зашифрованного трафика другими способами.
Решение называется Encrypted Traffic Analytics (ETA).
ETA — технология, не имеющая на данный момент аналогов в конкурентных решениях и обнаруживающая вредоносное ПО в зашифрованном трафике без необходимости его расшифровки.
ETA — это основная функция IOS-XE, которая включает Enhanced NetFlow и использует расширенные поведенческие алгоритмы для выявления вредоносных шаблонов трафика, скрывающихся в зашифрованном трафике.
ETA не расшифровывает сообщения, а собирает профили метаданных зашифрованных потоков трафика — размер пакета, временные интервалы между пакетами и многое другое.
Метаданные затем экспортируются в записях NetFlow v9 в Cisco Stealthwatch. Ключевой функцией Stealthwatch является постоянный мониторинг трафика, а также создание базового уровня нормальной сетевой активности.
Используя метаданные зашифрованного потока, отправленные ему ETA, Stealthwatch применяет многоуровневое машинное обучение для выявления аномалий поведения трафика, которые могут указывать на подозрительные события.
В прошлом году Cisco привлекла компанию Miercom для независимой оценки своего решения Cisco Encrypted Traffic Analytics. В ходе этой оценки компания Miercom отдельно отправляла известные и неизвестные угрозы (вирусы, трояны, программы-вымогатели) в зашифрованном и незашифрованном трафике по крупным сетям ETA и не-ETA для выявления угроз.
Для тестирования в обеих сетях был запущен вредоносный код. В обоих случаях постепенно обнаруживалась подозрительная активность.
Сеть ETA изначально обнаруживала угрозы на 36% быстрее, чем сеть, не принадлежащая ETA. При этом по ходу работы производительность обнаружения в сети ЭТА стала возрастать.
В результате после нескольких часов работы в сети ETA было успешно обнаружено две трети активных угроз, что в два раза больше, чем в сети, не принадлежащей ETA. Функциональность ETA хорошо интегрирована со Stealthwatch. Угрозы ранжируются по степени серьезности и отображаются с подробной информацией, а также вариантами устранения после подтверждения.
Вывод – ЭТА работает!
Обнаружение и предотвращение вторжений
Теперь у Cisco есть еще один эффективный инструмент безопасности — усовершенствованная система предотвращения вторжений в беспроводную сеть Cisco (aWIPS): механизм обнаружения и предотвращения угроз беспроводным сетям.Решение aWIPS работает на уровне контроллеров, точек доступа и программного обеспечения управления Cisco DNA Center. Обнаружение, оповещение и предотвращение угроз сочетают в себе анализ сетевого трафика, информацию о сетевых устройствах и топологии сети, методы на основе сигнатур и обнаружение аномалий для обеспечения высокоточных и предотвратимых беспроводных угроз.
Полностью интегрировав aWIPS в свою сетевую инфраструктуру, вы сможете непрерывно отслеживать беспроводной трафик как в проводных, так и в беспроводных сетях и использовать его для автоматического анализа потенциальных атак из нескольких источников, чтобы обеспечить наиболее полное обнаружение и предотвращение.
Средства аутентификации
На данный момент, помимо классических средств аутентификации, решения Cisco Catalyst серии 9800 поддерживают WPA3. WPA3 — это последняя версия WPA, представляющая собой набор протоколов и технологий, обеспечивающих аутентификацию и шифрование сетей Wi-Fi. WPA3 использует одновременную аутентификацию равных (SAE) для обеспечения максимальной защиты пользователей от попыток подбора пароля третьими лицами.Когда клиент подключается к точке доступа, он выполняет обмен SAE. В случае успеха каждый из них создаст криптографически стойкий ключ, из которого будет получен сеансовый ключ, а затем перейдет в состояние подтверждения.
Затем клиент и точка доступа могут переходить в состояния установления связи каждый раз, когда необходимо сгенерировать сеансовый ключ.
В этом методе используется прямая секретность, при которой злоумышленник может взломать один ключ, но не все остальные ключи.
То есть SAE устроен таким образом, что у злоумышленника, перехватывающего трафик, есть всего одна попытка угадать пароль, прежде чем перехваченные данные станут бесполезными.
Для организации восстановления длинного пароля вам понадобится физический доступ к точке доступа.
Защита клиентских устройств
Беспроводные решения Cisco Catalyst серии 9800 в настоящее время обеспечивают основную функцию защиты клиентов через Cisco Umbrella WLAN, облачную службу сетевой безопасности, которая работает на уровне DNS с автоматическим обнаружением как известных, так и новых угроз.Cisco Umbrella WLAN обеспечивает клиентским устройствам безопасное подключение к Интернету.
Это достигается за счет контентной фильтрации, то есть блокировки доступа к ресурсам в сети Интернет в соответствии с политикой предприятия.
Таким образом, клиентские устройства в Интернете защищены от вредоносного ПО, программ-вымогателей и фишинга.
Обеспечение соблюдения политики основано на 60 постоянно обновляемых категориях контента.
Автоматизация
Сегодняшние беспроводные сети гораздо более гибкие и сложные, поэтому традиционных методов настройки и получения информации от беспроводных контроллеров недостаточно.Сетевым администраторам и специалистам по информационной безопасности требуются инструменты для автоматизации и аналитики, что побуждает поставщиков беспроводной связи предлагать такие инструменты.
Для решения этих проблем в беспроводных контроллерах серии Cisco Catalyst 9800 наряду с традиционным API предусмотрена поддержка протокола настройки сети RESTCONF/NETCONF с языком моделирования данных YANG (Yet Another Next Generation).
NETCONF — это протокол на основе XML, который приложения могут использовать для запроса информации и изменения конфигурации сетевых устройств, таких как контроллеры беспроводной связи.
В дополнение к этим методам контроллеры Cisco Catalyst серии 9800 предоставляют возможность захвата, извлечения и анализа данных информационных потоков с использованием протоколов NetFlow и sFlow. Для моделирования безопасности и трафика возможность отслеживать определенные потоки является ценным инструментом.
Для решения этой проблемы был реализован протокол sFlow, позволяющий перехватывать два пакета из сотни.
Однако иногда этого может быть недостаточно для анализа и адекватного изучения и оценки потока.
Поэтому альтернативой является NetFlow, реализованный Cisco, который позволяет на 100% собирать и экспортировать все пакеты в заданном потоке для последующего анализа.
Другая возможность, однако, доступная только в аппаратной реализации контроллеров, позволяющая автоматизировать работу беспроводной сети в контроллерах серии Cisco Catalyst 9800, — это встроенная поддержка языка Python в качестве дополнения для использования сценарии непосредственно на самом беспроводном контроллере.
Наконец, контроллеры Cisco Catalyst серии 9800 поддерживают проверенный протокол SNMP версий 1, 2 и 3 для операций мониторинга и управления.
Таким образом, с точки зрения автоматизации решения Cisco Catalyst серии 9800 полностью отвечают современным требованиям бизнеса, предлагая как новые и уникальные, так и проверенные временем инструменты для автоматизации операций и аналитики в беспроводных сетях любого размера и сложности.
Заключение
В решениях на базе контроллеров Cisco Catalyst серии 9800 компания Cisco продемонстрировала отличные результаты в категориях высокой доступности, безопасности и автоматизации.Решение полностью отвечает всем требованиям высокой доступности, таким как аварийное переключение за доли секунды во время незапланированных событий и нулевое время простоя для запланированных событий.
Контроллеры Cisco Catalyst серии 9800 обеспечивают комплексную безопасность, которая обеспечивает глубокую проверку пакетов для распознавания приложений и управления ими, полную видимость потоков данных и выявление угроз, скрытых в зашифрованном трафике, а также расширенные механизмы аутентификации и безопасности для клиентских устройств.
Для автоматизации и аналитики серия Cisco Catalyst 9800 предлагает мощные возможности с использованием популярных стандартных моделей: YANG, NETCONF, RESTCONF, традиционных API и встроенных сценариев Python. Таким образом, Cisco еще раз подтверждает свой статус ведущего мирового производителя сетевых решений, идущего в ногу со временем и учитывающего все вызовы современного бизнеса.
Для получения дополнительной информации о семействе коммутаторов Catalyst посетите Веб-сайт Циско.
Теги: #cisco #cisco #Сетевые технологии #сетевое оборудование #Cisco Catalyst
-
Как Сделать Ремонт Iphone Не Выходя Из Дома?
19 Oct, 24 -
Очистка Атрибутов
19 Oct, 24 -
Охота На Стартапы Продолжается!
19 Oct, 24 -
Мой Личный Персональный Прогноз На 2022 Год.
19 Oct, 24 -
Регистрация На Cib-2007 Начнется 20 Марта.
19 Oct, 24 -
«Как Это Работает»: Введение В Ssl/Tls
19 Oct, 24
