Trapeze WLAN-Lösung
Upcoming SlideShare
Loading in...5
×
 

Trapeze WLAN-Lösung

on

  • 2,347 views

Enterprise WLAN mit Trapeze Networks

Enterprise WLAN mit Trapeze Networks

Statistics

Views

Total Views
2,347
Views on SlideShare
2,346
Embed Views
1

Actions

Likes
0
Downloads
11
Comments
0

1 Embed 1

http://www.slideshare.net 1

Accessibility

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Trapeze WLAN-Lösung Trapeze WLAN-Lösung Presentation Transcript

  • Enterprise WLAN mit Trapeze Networks Volker Natemeyer Systems Engineer volker.natemeyer@trapezenetworks.com
  • Trapeze Networks • Gegründet März 2002  Seit Juni 2008 Teil von Belden inc. • Headquarter in Pleasanton, CA - 8.000 Mitarbeiter im Konzern • EMEA-Zentrale in Hilversum/NL - 2 Mrd. Dollar Umsatz - Spezialist für Kabel und Signalisierung • 250+ Mitarbeiter  • Focus ausschliesslich WLAN • Mehr als 40 WLAN Patente • Über 2500 Kunden weltweit • Über 800 Kunden in Zentraleuropa  Hirschmann Automation gehört seit Mai 2007 zu Belden - Spezialist für Industrial Ethernet • Übernahme durch Trapeze im Dezember 2008  Steckverbinder-Systeme • RTLS – LBS Experten Trapeze Networks, A BELDEN Brand | Proprietary and Confidential | 01/13/09 Slide
  • Trapeze Kunden in Deutschland Stadt Pforzheim
  • Die Elemente des Smart Mobile RingMaster™ Mobility System Software Mobility Mobility Points Exchange Sicherheit – Integration – Skalierbarkeit Planung – Deployment – Management
  • Trapeze Networks: Pionier bei den Kontroller basierten WLAN Lösungen WLAN als Overlay Netzwerk • Ermöglicht unterbrechungsfreies Roaming unabängig von bestehender Netzwerkstrukur • Vlan • IP Bereiche • Definierte „Übergabepunkte“ der WLAN Daten in das bestehende Netzwerk: L2 Ansatz • LAN Ports am Kontroller • Controller als L2 „Bridge“ zwischen WLAN und VLAN • Zentrales Management • Jegliche Konfiguration der Wlan Dienste und der APs nur über Kontroller
  • SmartMobile Architektur • Abdeckung unterschiedlicher Benutzeranforderungen • Sicherheitanforderungen für verschiedene Nutzergruppen • Interne WLAN Nutzer, Contractor, Besucher, ... Mapping von Benutzern auf • Roaming Vlans •  Identische Netzwerkumgebung für den einzelnen Nutzer, unabhängig vom Ort • Ausfallsicherheit  „Always On“ • Einfache Implementierung und Betrieb großer Netze • Zentrale Verwaltung • Minimierung der Eingriffe in die LAN und Security Architektur •  Vlan, Firewall, L3 Struktur .... • Gute Skalierbarkeit • Anzahl der Kontroller und APs • Erweiterbarkeit • Virtualisierung (Clustering der Controller) RingMaster ManagementOberfläche
  • Controller-Ansatz: Zentrale Kontrolle und Konfiguration der APs L2/L3 Netzwerk • Control-Tunnel zwischen AP und Controller (MX) • Kontroller als zentrale Stelle für die Konfiguation • Auf dem Kontroller werden die Wireless Netze und die APs konfiguriert • Viele Funktionen dezentral: De/Encryption; ALCs, QoS Handling • AP Controller Redundanz • Individuelle Konfiguration eines AP wird auf einem Backup Kontroller vorgehalten • Manuell oder automatisch im Cluster Mode (später mehr) • Konfiguration auf Kontroller und RingMaster (Management SW) • Auch die Konfig Daten liegen physikalisch sowohl auf dem Kontroller als auch im RingMaster
  • Smart Mobile Architektur: Benutzer - Handling Vlan_10 Vlan_20 L2/L3 Netzwerk Client für Vlan_20 Client für Vlan_10 User Mapping auf Vlan • Unterschiedliche Vlans möglich, auch wenn User mit einer SSID verbunden sind • Mapping konfigurierbar per SSID, per User oder User- Group
  • Smart Mobile Architektur: Datenfluss Vlan_10 L2/L3 Netzwerk TAPA Daten- Tunnel Local Switching AP -> Vlan Optionen für den Client-Traffic: • Daten Tunnel zw. AP und Controller oder • Local Switching: Vlan Break-Out am AP • Einstellbar pro individuellem AP • Vlan muss am AP anliegen (tagged oder untagged)
  • Einsatz mehrerer Controller: Dynamische Vlan Tunnel Vlan_extern Vlan_10 DMZ L2/L3 Netzwerk TAPA Daten- Tunnel Client für Vlan_extern Option, falls „Ziel Vlan“ am Controller nicht anliegt:  Dyn. Daten-Tunnel zum Ziel-Controller, an dem das Vlan konfiguriert ist
  • Mobility Domain, Netzwerk Domain Mobility Domain: Umfasst alle Kontroller eines Standortes Seamless Roaming zwischen allen APs / Kontrollern Austausch von User/Session Daten sowie Vlan-Informationen Bis zu 64 Kontroller je Mobility Domain Manuelle Konfiguration des Backup-Kontrollers Network Domain: Mehrere Mobility Domains, die räumlich getrennt sind, können zu einer Network Domain zusammengefasst werden Austausch von Vlan-Informationen Mapping User-zu-Vlan auch zwischen Standorten Bis zu 500 Kontroller je Network Domain
  • Cluster: MX Virtualisierung • Cluster bietet single-Point-of-Configuration für die APs und Wlan Services • Hitless Failover der APs bei MX Ausfall, Client Session bleibt bestehen • Konfiguration auf Mobility Domain Seed MX • Primary Seed MX wird Cluster Seed • Secondary Seed MX wird Secondary Cluster Seed • Alle Controller der Domain werden dem Cluster zugefügt • Max. 64 MXs und 4096 distributed APs innerhalb des Clusters* • Automatische Verteilung der Konfigs aller APs innerhalb des Clusters • AP configs, Radio Profiles, Service Profiles, Vlan profiles, ACLs Cluster Konfig Wireless Konfig Controller 1 :Konfig Controller 2 :Konfig AAA Konfig (Radius, Access Rules) System Konfig 1 System Konfig 2 Wireless Konfig Wireless Konfig System Konfig 1 System Konfig 2 AAA Konfig 1 AAA Konfig 2 AAA Konfig 1 (local AAA Konfig 2 user database) (local user database) Bem.: Mit SW 7.1 (Dez.09) ist die AAA *) mit MX-2800 als Cluster Seed Konfig auch Teil der Cluster Konfg
  • Cluster Details • Im Cluster wird jedem AP ein primärer (PAM) und ein sekundärer Kontroller (SAM) zugewiesen • Der AP baut einen TAPA Control-Tunnel zum PAM und zum SAM auf • Beide Kontroller kennen den aktuellen Zustand des AP • Der TAPA Datentunnel geht zum PAM • Im Failover-Fall schwenkt der AP den TAPA Datentunnel zum SAM um • Nach 150 msec geht der normale Datenverkehr ohne weitere Störungen weiter • Für die Clients ist der Schwenk nicht bemerkbar
  • Cluster Konfig:: AP Load Balancing innerhalb des Clusters • AP Load Balancing: APs werden automatisch auf einzelne Clustermember verteilt • Primary AP Manager (PAM), Secondary AP Manager (SAM) • Abhängig von Kapazität und Lizenzen • Dynamische Re-Distribution nach Änderung der MX-Anzahl Erhebliche Minimierung des Konfig-Aufwandes • Die maximale Anzahl der APs innerhalb des Clusters ist beschränkt auf die maximale Anzahl der konfigurierbaren APs auf dem Cluster Seed • Max 4096 APs mit MX-2800
  • 9 Gründe für die Trapeze Lösung 1. Höchste Skalierbarkeit und Investitionsschutz • Skalierbar von 4 bis zu tausenden MPs • Ein Mangement für alle Systeme • Alle Kontroller beliebig kombinierbar • Identischer Feature Set über alle Kontroller • Auch alte Kontroller unterstützen 802.11n Trapeze Networks, A BELDEN Brand | Proprietary and Confidential | 01/13/09 Slide
  • Skalierbarkeit Die Mobility Exchange™ Gerätefamilie MX-2800 64-512 .11n MPs 2x10GE (XFP) 8xGE (SFP, RJ45) FIPS 140-2 Performance MX-200R MX-216R 32-192 MPs 32-192 MPs 2xGE (SFP) 16 FastEthernet (10/100) PoE FIPS 140-2 2xGE(SFP) FIPS 140-2 MX-8R 12 MPs PoE, 8 FastEthernet (10/100) MXR-2 4 MPs PoE, 2 FastEthernet (10/100) Aussenstellen Distribution / Unterverteilungen Rechenzentren
  • Skalierbarkeit RingMaster Appliance RM-200 Turnkey Lösung – Hardware, OS, Plattform Tools und Applikation Software im Bundle Bis zu 1000 Controller oder 5000 APs RingMaster SW bis zu 100 Controller oder 1000 Aps RingMaster Global Verwaltet bis zu 20 verteilte RingMaster Server, 20.000 Controller oder100,000 APs 1
  • Skalierbarkeit und Investitionsschutz Security Management Security Management Reliability Performance Reliability Performance Networks, A BELDEN Brand | Proprietary and Confidential | 01/13/09 Trapeze Slide
  • 9 Gründe für die Trapeze Lösung 1. Höchste Skalierbarkeit und Investitionsschutz 2. Flexible Lastverteilung und Kapazitätsmanagement 3. 4. 5. 6. 7. 8. 9. Trapeze Networks, A BELDEN Brand | Proprietary and Confidential | 01/13/09 Slide
  • AP Lastverteilung und “Band Steering” • Most Wi-Fi devices default to 2.4Ghz (better range) • Increases contention for spectrum, while 5Ghz virtually unused • We steer 5Ghz-capable clients (802.11a/n) to 5Ghz • Completely transparent - No duplication of SSID, VLAN required • 30-40% better bandwidth utilization with no cost • Load share Clients between groups of APs 802.11b/g 802.11a Trapeze Networks, A BELDEN Brand | Proprietary and Confidential | 01/13/09 Slide
  • 9 Gründe für die Trapeze Lösung 1. Höchste Skalierbarkeit und Investitionsschutz 2. Überragende Lastverteilung und Kapazitätsmanagement 3. Komfortabler Gast Zugriff - SmartPass 4. 5. 6. 7. 8. 9. Trapeze Networks, A BELDEN Brand | Proprietary and Confidential | 01/13/09 Slide
  • Smart Pass Gast Account Management  Ausdruck von Vochers mit Username / Password  Verschiedene User-Typen konfiguriertbar  Datums und Zeit abhängiger Zugang  Bandbreite / Volumenbegrenzung  Lokation  Dynamische De- authentisierung 2
  • Anlegen eines Gast Templates Example: Contractor that will be on your premises some days, over the next 3 weeks. SmartPass can restrict access to only the days and hours contractor is on campus. Other vendors only control total duration…allowing access 24/7 for the entire period.
  • 9 Gründe für die Trapeze Lösung 1. Höchste Skalierbarkeit und Investitionsschutz 2. Überragende Lastverteilung und Kapazitätsmanagement 3. Komfortabler Gast Zugriff - SmartPass 4. Beste Architektur für zuverlässige Voice-Anwendungen in Festnetzqualität 5. 6. 7. 8. 9. Trapeze Networks, A BELDEN Brand | Proprietary and Confidential | 01/13/09 Slide
  • Optimale Architektur für WLAN-Telefonie Anchored Mobility – Basic Roaming Smart Mobile - Seamless Mobility Mobility Controller A Controller B Controller A Domain Controller B A A Subnet 1 Subnet 2 Subnet 2 Subnet 1 Client A on Client B on Client A on Client B on Subnet 1 Subnet 1 Subnet 1 Subnet 1 • Abhängigkeit vom “Home” Controller • Unabhängig vom “Home” Controller • Unnötige Round-Trips durchs Netzwerk • Optimierter Datenfluss durch die Infrastruktur • Keine Kenntnis über Client-Roaming • Kenntnis im Voraus über Client-Roaming • Nicht imun gegen Controller Ausfall • Höchste Verfügbarkeit in der Infrastruktur • Timeouts und Callabbrüche möglich • Festnetzqualität ohne Abbrüche Trapeze Networks, A BELDEN Brand | Proprietary and Confidential | 01/13/09 Slide
  • Optimale Architektur für WLAN-Telefonie Beste Voice Performance  Getestet wurden Cisco, Siemens, Aruba, Trapeze im Dezember 2007  Trapeze hat als einziger in allen Bereichen ein “gut” erhalten Trapeze Networks, A BELDEN Brand | Proprietary and Confidential | 01/13/09 Slide
  • 9 Gründe für die Trapeze Lösung 1. Höchste Skalierbarkeit und Investitionsschutz 2. Überragende Lastverteilung und Kapazitätsmanagement 3. Komfortabler Gast Zugriff - SmartPass 4. Beste Architektur für zuverlässige Voice-Anwendungen in Festnetzqualität 5. Identisches Managementmodell Indoor und Outdoor 6. 7. 8. 9. . Trapeze Networks, A BELDEN Brand | Proprietary and Confidential | 01/13/09 Slide
  • Self-Optimizing, Self-Healing Mesh • Verschiedene Mesh-Pfade möglich • Mesh Portale bieten Mesh Service an • AP wählt besten Pfad zum Mesh-Portal • “Station Switching Records” werden im Netz announciert • Mesh Portal steuert Firewallregeln und Policies • Selbstheilung im Falle eines blockierten Pfades • “Station Switching Records” werden neu announciert Trapeze Networks, A BELDEN Brand | Proprietary and Confidential | 01/13/09 Slide
  • Indoor / Outdoor Access Points MP-422 MP-82 MP-432 MP-620 MP-632 Indoor Indoor Indoor Outdoor Outdoor 2 Radio 2 Radio 2 Radio 2 Radio 2 Radio a/b/g 2*3 MIMO 3*3 MIMO a/b/g 3*3 MIMO a/b/g/n a/b/g/n a/b/g/n Mesh and Mesh and Mesh and Mesh and Mesh and Bridging Bridging Bridging Bridging Bridging
  • 9 Gründe für die Trapeze Lösung 1. Höchste Skalierbarkeit und Investitionsschutz 2. Überragende Lastverteilung und Kapazitätsmanagement 3. Komfortabler Gast Zugriff - SmartPass 4. Beste Architektur für zuverlässige Voice-Anwendungen in Festnetzqualität 5. Identisches Managementmodell Indoor und Outdoor 6. Höchste Verfügbarkeit, Non-Stop Infrastruktur 7. 8. 9. Trapeze Networks, A BELDEN Brand | Proprietary and Confidential | 01/13/09 Slide
  • Smart Mobile Clustered Switching Today’s Limited Approach Smart Mobile – Clustered Approach Hot Stand-by Back- up Switch Switch A Switch B Switch C Unabhängige Switche agieren ohne direkte Geclusterte Switche agieren kollektiv wie ein virtueller Controller Verbindung Optimalie Skalierbarkeit – Resourcen können Skaliert nicht optimal dynamisch hinzugefügt werden Eingeschränkte Hochverfügbarkeit – APs Höchste Verfügbarkeit – APs werden werden statisch auf Controller gemappt automatisch gemappt und dynamisch umverteilt wenn nötig Eingeschränkte Redundanz – N+1 (Abhängig Always-on Redundanz – Jeder Switch kann als von der Anzahl bereitgestellter Backup-MX) Backup fungieren Management anspruchsvoller, hohe “Cost of Einfaches Management, single point of ownership” configuraton niedrigste “Cost of ownership”
  • 9 Gründe für die Trapeze Lösung 1. Höchste Skalierbarkeit und Investitionsschutz 2. Lastverteilung und Kapazitätsmanagement 3. Komfortabler Gast Zugriff - SmartPass 4. Beste Architektur für zuverlässige Voice-Anwendungen in Festnetzqualität 5. Identisches Managementmodell Indoor und Outdoor 6. Höchste Verfügbarkeit, Non-Stop Infrastruktur 7. Führende Wireless IDS/IPS mit dynamischen Gegenmaßnahmen 8. 9. Trapeze Networks, A BELDEN Brand | Proprietary and Confidential | 01/13/09 Slide
  • Trapeze Multi-Tiered WLAN Security Web Portal with Integrity Check Web Portal with Location Check  Intrusion  LA-200 Untrusted Client Untrusted Client AAA Servers SmartPass X Rogue AP Detection & Protection 802.1X Authentication Strong RingMaster X Rogue User Encryption Application Trusted Client Firewall Verschlüsselung Endgerätekontrolle Firewall Angreifer Abwehr • 802.1X, EAP-TLS, • Trusted Network Connect • Application-aware QoS • Core WIDS/WIPS PEAP, TTLS, MAC, (Trusted Computing scheduling, location and • Scan, detect, locate, Web, ... Group) security filtering disable Rogues • 802.11i, WPA2, WPA, • Microsoft Network Access • Time and location based • Automatically classify AES, CCMP … Protection (NAP) access control and disable Rogues • Juniper Networks Unified • Location aware access Access Control (UAC) control • Dynamic Authorization changes Trapeze Networks, A BELDEN Brand | Proprietary and Confidential | 01/13/09 Slide
  • IDS/IPS Erkannte Angriffe • Rogue access points • Spoofed access point mac-address attacks • Interfering access points • Spoofed client mac-address attacks • Rogue 802.11 clients • Ssid masquerade attacks • Interfering 802.11 clients • Spoofed deauthentication attacks • Spoofed disassociation attacks • 802.11 adhoc clients • Null probe responses • Unknown 802.11 clients • Broadcast deauthentications • Interfering 802.11 clients on wired LAN • FakeAP ssid attacks • 802.11 probe request flood • FakeAP bssid attacks • 802.11 authentication flood • Netstumbler clients • 802.11 null data flood • Wellenreiter clients • 802.11 mgmt type 6 flood • Active scans • 802.11 mgmt type 7 flood • Wireless bridge frames • 802.11 mgmt type d flood • Adhoc client frames • 802.11 mgmt type e flood • Access points present in attack-list • Access points not present in ssid-list • 802.11 mgmt type f flood • Access points not present in vendor-list • 802.11 association flood • Clients not present in vendor-list • 802.11 reassociation flood • Clients added to automatic black-list • 802.11 disassociation flood • Weak wep initialization vectors
  • Führendes wireless IDS/IPS  Führend bei WLAN Sicherheit  Studie über die Top 11 WLAN Anbieter  Trapeze auf Platz #1 *20-seitiger Bericht verfügbar  Unabhängige Studie Trapeze Networks, A BELDEN Brand | Proprietary and Confidential | 01/13/09 Slide
  • 9 Gründe für die Trapeze Lösung 1. Höchste Skalierbarkeit und Investitionsschutz 2. Überragende Lastverteilung und Kapazitätsmanagement 3. Komfortabler Gast Zugriff - SmartPass 4. Beste Architektur für zuverlässige Voice-Anwendungen in Festnetzqualität 5. Identisches Managementmodell Indoor und Outdoor 6. Höchste Verfügbarkeit, Non-Stop Infrastruktur 7. Führende Wireless IDS/IPS mit dynamischen Gegenmaßnahmen 8. Fortschrittlichstes RF Planungstool und WLAN- Management 9. . Trapeze Networks, A BELDEN Brand | Proprietary and Confidential | 01/13/09 Slide
  • RingMaster™ Eine Applikation für komplette Lebensdauer Benutzer- und Rechteverwaltung Client-Server Konzept Win, Linux, Mac OS X RingMaster Bestandteile Komplette Simulation und HF- Planung Konfigurationsmanagement Monitoring Display Reporterstellung Integration und Automatisierung Vermeiden von Konfigurationsfehlern Schnellere Erkennung von Problemen Effizientere Planung
  • Zentrales Lifecycle Management  Integrierte WLAN-Planung  Netzwerkweite Konfiguration  Umfangreiches Monitoring  Kontinuierliche Überwachung der • Planen kompletter Gebäude • Bestimmt Anzahl und Ort benötigter Access Points Performance und • Manuelle Korrekturen und Verdichtungen möglich Optimierung • Erstellt Ausleuchtung und Arbeitsauftrag 40
  • Zentrales Lifecycle Management  Integrierte WLAN-Planung  Netzwerkweite Konfiguration  Umfangreiches Monitoring • Dashboard-Ansicht  Kontinuierliche • Fehler- und Alarmzuordnung Überwachung der • Detailansichte Performance und • Anpassbare Reports Optimierung • bis zu 30 Tage History 43
  • 9 Gründe für die Trapeze Lösung 1. Höchste Skalierbarkeit und Investitionsschutz 2. Lastverteilung und Kapazitätsmanagement 3. Komfortabler Gast Zugriff - SmartPass 4. Beste Architektur für zuverlässige Voice-Anwendungen in Festnetzqualität 5. Identisches Managementmodell Indoor und Outdoor 6. Höchste Verfügbarkeit, Non-Stop Infrastruktur 7. Führende Wireless IDS/IPS mit dynamischen Gegenmaßnahmen 8. Fortschrittlichstes RF Planungstool und WLAN- Management 9. Integration von RTLBS Real Time Location based Services Trapeze Networks, A BELDEN Brand | Proprietary and Confidential | 01/13/09 Slide
  • Trapeze Location Appliance™ Lokalisierungsserver sammelt und wertet die RSSI Daten aller Clients aus, die von den APs gesendet werden Raumgenaue Ortung durch Vergleich mit vorher genommenen RSSI Fingerprints der Räume Überwachung von IEEE 802.11 Geräten OHNE spezielle Clientsoftware RFID- Tags, WLAN-Telefone, PDAs, Laptops Hohe Präzision (99 % Raumgenau) Geringe Verzögerung (“fast” in Echtzeit: 20 bis 60 sec) Hohe Skalierbarkeit (Überwachung von 1000en Geräten gleichzeitig) Trapeze Networks, A BELDEN Brand | Proprietary and Confidential | 01/13/09 Slide
  • Anwendungen • Häufige Anwendungsfälle • Monitoring – Endgeräte und Rogue Monitorung und Auditing – Branchen: Unternehmen, Universitäten • Location based access control – “RF Firewall” w/ “grey” access – Branchen: Unternehmen, Universitäten • Asset Tracking – Ortung wertvoller Assets verbessert Prozesse – Branchen: Krankenhaus, Hotels • Location Based Content Delivery – Kontextabhängige Datenzugriffe je nach Aufenthaltsort des Users – Branchen: Krankenhaus, Museums / Messen Trapeze Networks, A BELDEN Brand | Proprietary and Confidential | 01/13/09 Slide
  • Die Komplettlösung – RF Firewall • Location based access control application (SmartPass) • Verwaltung von Regeln zur Steuerung des Userzugriffes basierend auf Ort, Datentransfer, Username, SSID, etc.. • Möglichkeit von “allow” und “deny” Regeln basierend auf dem Aufenthaltsort des Users Trapeze Networks, A BELDEN Brand | Proprietary and Confidential | 01/13/09 Slide
  • Vielen Dank!