Возможности современных беспроводных сетей Cisco

1,060 views

Published on

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Возможности современных беспроводных сетей Cisco

  1. 1. Возможности современных беспроводных сетей CiscoСергей Монин 19/11/2012Учебный центр REDCENTER
  2. 2. Содержани е Введение Возможности современных WLAN, Продуктовая линейка кратко. Сети WiMesh: дизайн, поддержка Принципы радиопланирования. Безопасность: современные возможности WIPS и противодействие rogue APs, механизмы защиты. Новое. Выводы
  3. 3. Введение Развитие беспроводных сетей в мире Беспрецедентные темпы WLAN (Мощные, полнофункциональные сети предприятий) Домовые сети Соединение удаленных проводных сетей на большие расстояния Мониторинг безопасности, системы позиционирования на карте Mesh сети уличного и внутриофисного исполнения
  4. 4. ВведениеРазвитие Outdoor-mesh и прото outdoor беспроводных сетей в мире Потребители: Провайдеры Широкополосный доступ Муниципальные сети Транспорт Нефте-газо добыча/транспортировка С 21.04.2011 доступны к заказу АР домена -R
  5. 5. Введение Локальные сети с контроллером vs : Единая система организации WLAN. Гибкая система управления безопасностью (встроенные механизмы обнаружения вторжений). Высокая производительность. Встроенная система отслеживания перемещений. Уменьшение затрат на развертывание и поддержку сети.Простота управления беспроводной сетью большого масштаба. Облегчен Site Survey.Сравним со standalone решениями…
  6. 6. Введение Локальные сети с контроллером: Автоматическое управление производительностью сети:  Восстановление покрытия при выходе из строя какой-либо АР  В случае перегрузки, переключение новых пользователей
  7. 7. Введение Локальные сети (точки доступа): …Новые 2600, старые 1131… 3600 3500 1260 1140 1040 600 1550Скорость, Mb 450 300 300 300 300 300 300CleanAir да да ДаClientLink 2.0 Да да да даRougue Detection да Да да да да ДаWIPS да да да да ДаOffice Extend ДаFlexConnect да да да да да В 7.2Mesh да да да да да Да
  8. 8. Введение Локальные сети (аксессуары):Всенаправленные антенны 2.0 dBi 2.2 dBi 5.2 dBI 12 dBiНаправленные антенны 6 dBi 6.5 dBi 9 dBi 13.5 dBi Yagi 14 dBi секторная 21 dBi тарелка ….. Небольшие маршрутизаторы Клиентские устройства Серия 3200
  9. 9. Введение Локальные сети (контроллеры управления):2106 (6,12,25) AP 3750G (25-50) 526 WiSMWireless Lan controller module (6,8,12,25 AP) 5500
  10. 10. ВведениеЛокальные сети (контроллеры управления): 4404-100 WiSM 5508 Количество АР на 2400 3600 >7000 кластер 1500 (per chassis) Количество АР на 100 300 12 - 250 модуль/контр. Контроллеров в 24 5 Modules per Chassis кластере 12 Modules per Cluster Uplink возможности 4 – 1000Base-X SFP Any Catalyst interfaces 8 – 1000Base-X SFP Макс. Пропускная 4 Gbps 8 Gbps 8 Gbps способность (1 устр.) 4 Gbps Bus 6500… 8 Gbps Макс. Пропускная способность (шасси) Поддержка VPN 2 ESM Cisco VPN Services Module Inside (встроенная) - Cisco Firewall Services Интеграция с Firewall Module
  11. 11. Новое Контроллеры: 5508-12, 25, 50, 100, 250 (LICENSE-BASED) 5508-12 5508-25 5508-50 5508-100 5508-250 WiSM-300Performance & Scale 4404-100 4402-12, 25, 50 3750G-25, 50 2106, 12, 25 WLCME-6, 8, 12, 25 H-REAP 1 6 12 25 50 100 250 300 500 # of APs
  12. 12. Новое Контроллер 5508: 8 Gigabit Ethernet Status Service Port (RJ45) Uplinks (SFP slots) LEDs Serial Console Port (Mini USB Type B) Redundant Power Supply 10-core Control CPUSerial Console Port (RJ45) 10-core Data CPU
  13. 13. Новое Контроллеры свежие : Enterprise, Campus… Branch Mobile Для HREAP АРSO-Medium Office 5500 Series WiSM2 Flex 7500 Series+ 8500 AP 500 – 6000 AP 12 – 500 64000 User-ов 7000 – 10000 User-ов 2*10Ge 8 – 10 GEth2500(4GEth) WLCM2 СпецконтроллерAP 5/15/25/50 , 500 User-ов Для FlexConnect300 Мбит (бывш. HREAP) точек Local mode AP is not supported Inter Controller mobility is not supported LAG is not supported on WLC 7500 Виртуальный Data DTLS is not supported Client and RFID Tag location is not supported контроллер Voice CAC is not supported 7.3 Reliable multicast (Media Stream feature) is not supported WGB is not supported WLC 7500 platform will not be certified with FIPS
  14. 14. Новое Контроллеры, свежие решения FlexConnect: Branch Mobile Для HREAP АР 128K, 300ms (100ms – голос)
  15. 15. Новое Контроллеры, свежие решения Virtual: vWLC – решение для небольших/средних филиалов . VMWare позволяет Нам разместить в одной коробке несколько сервисов: Hardware: Cisco UCS, UCS Express, HP and IBM servers VMware OS: ESX/ESXi 4.x/5.x FlexConnect Mode: central and local switching Maximum APs: 200 Maximum клиентов: 3000 Throughput performance up to 500 Mbps per virtual controller Management with Cisco Prime Infrastructure 1.2 and above All 802.11n APs with required software version 7.3 are supported. APs will be operating in FlexConnect mode only. AP autoconvert to FlexConnect is supported on controller. New APs ordered will ship with 7.3 software from manufacturing. Existing APs must be upgraded to 7.3 software before joining a virtual controller.ЧЕГО НЕТ: Data DTLS, OEAP (no data DTLS),Rate Limiting,Internal DHCP server, Mobility/GuestAnchor, Multicast-Unicast mode, PMIPv6, Outdoor Mesh Access Points( an Outdoor AP withFlexConnect mode will work)
  16. 16. Введение Локальные сети (ПО): WCS Cisco Secure ACSCisco Prime NCS Mobility Service Engine 3355 (Loc.App+wIPS)
  17. 17. Введение Локальные сети (ПО): Это слайд прощания с WCS, который скоро EOS..Cisco Prime NCS: вырос из WCS, и позволяет управлять и диагностироватьИ коммутаторы доступа и АР и контроллеры и MSE с поддержкой wIPS, CleanAirи т.д. Может работать совместно с Cisco Identity Service Engine, которыйв свою очередь вырастает из Cisco Secure ACS и NAC  Здесь и далее WCS=Prime NCS
  18. 18. ВведениеЛокальные сети (ПО WCS+Location Appliance): ПЛАН ОФИСА
  19. 19. Введение Локальные сети: WCS Эффективное обнаружение местоположения родных и вражеских устройств с возможностью калибровки!
  20. 20. Введение Локальные сети: WCS3 способа определения местоположения: Ближайшая АР Триангуляция Точность сравнимая с GPS RF дактилоскопия
  21. 21. Введение Локальные сети: WCS режим предсказания покрытия
  22. 22. Введение Районные и городские сети:Можно заняться покрытием городов, дорог и интеграцией уличных и внутреннихсетей. Si Si Mesh Controller
  23. 23. Введение Районные и городские сети: VLANs 32 PAPs per RAP Police City Public 72 Cntrls Traffic per cluster 16 MBSSIDs 8 Hops deep (3-4 recommended) WCS поддерживает mesh сети
  24. 24. Введение MESH сети + Google Earth :WCS + Google maps…
  25. 25. Новое АР 1524(a/g)Dual Radio Backhaul АР 1552 (n) ClientLink, CleanAir В 6 раз производительнееVideo Surveillance DOCSIS (c)Хорошая пропускная способность Hazardous (h) Internal ants (i) Fiber SFP 1Gb Ethernet Fiber SFP Option Можно и к оптике Universal Access И клиенты и backhaul на одном 5 ГГц интерфейсе.. Rugged, Industrial Internal Battery Enclosure Backup Option -40 до 55 C Можно небольшой, встроенный UPS Power over Paintable Enclosure Ethernet Можно красить  Сам может питать IP камеры..
  26. 26. Новое АР 1524 Ch 165 Ch 153 1524SB 1524SB 1524SB Dual backhaul: upstream и downstream на разных каналах Выше скорость, меньше задержка Автовыбор частот Можно и с поддержкой клиентов на одном из 5.8 радио, НО…! До 8 хопов (через 4 можно переиспользовать канал) In Russia, outdoors, you can use 5GHz channels: 56 to 64 (3) at 20dBm 132 to 140 (3) at 22dBm 149 to 161 (4) at 28dBm
  27. 27. Введение АР 1524Цель• Wireless доступ клиентовКак• 9-16 cable nodes (RAP)• 8-14 mesh nodes (MAP)----------------------------------•17-30 1524 на каждые 16 км• 2-3 1242s в поезде WGB on 5 GHz AP on 2.4 GHzIn Russia, outdoors, you can use5GHz channels: 56 to 64 (3) at 20dBm 132 to 140 (3) at 22dBm 149 to 161 (4) at 28dBmconducted power from the AP
  28. 28. Введение Enterprise Mesh сети : 300 метров 300 метров 300 метров Сектор 4 Сектор 5 Сектор 6 60 метров 60 метров Сектор 1 Сектор 2 Сектор 3
  29. 29. Введение Enterprise Mesh сети:Конструкция здания препятствует прокладке СКС (складские помещения, ангары, высотные здания, памятники архитектуры)Требуется обеспечить беспрерывное покрытие как внутри так и снаружи помещенийБеспроводное подключение удаленных строений и объектов, таких точки продажПрокладка СКС неприемлема по эстетическим соображениямВременные беспроводные сети в арендованных помещениях – конференции, выставки, спортивные мероприятия, семинары, корпоративные мероприятия 1130AG 1242AG 15xx Требуется в 5 раз меньше портов на коммутаторах для подключения точек доступа Значительная экономия на строительстве СКС, на этапе внедрения за счѐт простоты конфигурации и инсталляции.
  30. 30. ВведениеГлобальные и районные сети: Как далеко ? Даже самый медленный WLAN стандарт 802.11b может обеспечить скорость линка точка-точка 2Мб на 40 км ! Какие провода могут такое ?
  31. 31. Введение Глобальные и районные сети: Проблемы:  Наличие прямой видимости  Кривизна земли, расчет зоны Френеля  Наличие статичных «мокрых» предметов…
  32. 32. Введение Outdoor сети: 1400 350 15241310 1500 Описание далi буде.
  33. 33. Принципы радиопланирования сетейВ процессе создания беспроводных сетей есть два вида исследований:  подготовка к внедрению и планирование  проверка качества сети и ее оптимизацияНеобходимы: этажные планыТребование по сервисам – Данные – Голос – Определение местоположение (требования по расстоянию)Плотность пользователейПропускная способностьКлючевой вопрос – где находятся пользователи? 33
  34. 34. Принципы радиопланирования сетей Ключевые этапы проведения site surveyПодготовка  Обработка требований заказчика  Определение необходимых для внедрения сервисов  Ознакомление с планом помещений  Определение требуемой зоны покрытия беспроводной сети  Выявление проблемных зон радиопокрытия  Подготовка плана расстановки беспроводного оборудования для проведения радиообследования  Подготовка необходимого для проведения site survey оборудования и программного обеспеченияПроведение  Осмотр обследуемой территории  Расстановка оборудования в соответствии с ранее подготовленным планом  Проведение радиообследования  Корректировка расположения беспроводного оборудования  Проведение радиообследованияРезультаты  Подготовка отчета о проведенном радиообследовании  Предоставление подробного плана окончательного размещения беспроводного оборудования  Фотографии  Предоставление готовой спецификации
  35. 35. Принципы радиопланирования сетей Возможность успешно передать радиосигнал на определенное расстояние зависит от нескольких параметров: Мощности передатчика Потери в кабеле между передатчиком и передающей антенной Усиления передающей антенны Потери при распространении сигнала в атмосфере Усиления приемной антенны Потерь в кабеле между приемной антенной и приемником Чувствительностью приемника (минимальной силой сигнала, который может успешно декодировать приемник)
  36. 36. Принципы радиопланирования сетейХарактеристики антенныШирина диаграммы направленности - х°Диаграмма направленности (два графика)Коэффициент усиления - dB Разъем RP-TNC Применяется на большинствеРабочие температуры - C° точек доступа CiscoТип разъема – RP-TNC, N-type…КреплениеБлижнее и дальнее поля антенны “N” разъем Используется на Mesh точках доступа 1500 серии и радиомостах 1400
  37. 37. Принципы радиопланирования сетей Ослабление радиосигнала Препятствия на пути Ослабление радиосигнала после прохождения через радиосигнала препятствие Гипсокартонные стены 3 дБ Стены с металлической 6 дБ арматурой Бетонные стены 4 дБ Стеклопакеты 3 дБ Металлические двери 6 дБ Металлические двери в 12 дБ кирпичной кладкеНеправильное расположение 3 - 6 дБ беспроводных устройств*примерные значения
  38. 38. Принципы радиопланирования сетей Enterprise решение с большей плотностьюБазовое покрытие, низкая стоимость точек доступа Пример с тремя частотными каналами
  39. 39. Принципы радиопланирования сетей Cisco Spectrum Expert:
  40. 40. Принципы радиопланирования сетей Cisco Spectrum Expert: устройства 802.11 802.11 a or g 802.11 b OFDM DSSS 20 MHz 20 MHz
  41. 41. Принципы радиопланирования сетей Cisco Spectrum Expert: Микроволновка Высокий коэффициент заполнения в узкой полосе спектра Сильный смещающийся сигнал Снос частоты
  42. 42. Принципы радиопланирования сетей Cisco Spectrum Expert: Bluetooth
  43. 43. Принципы радиопланирования сетей Cisco Spectrum Expert: беспроводные телефоны Низкий коэффициент заполнения размазанный по всему спектру Рост скачков сигнала Пестрая картина = частотные скачки
  44. 44. Принципы радиопланирования сетей Cisco Spectrum Expert: аналоговые камеры Постоянный сигнал Коэффициен т занятости = 100% Полосы постоянного уровня мощности
  45. 45. Принципы радиопланирования сетей Cisco Spectrum Expert + WCS
  46. 46. Принципы радиопланирования сетей Распространенные ошибки- Измерять на максимальной мощности- Измерять ноутбуком, а работать должны другие девайсы- Измерять с настройками точек доступа по умолчанию- Инжектор питания Cisco позволит вынести точку доступа на 200 метров от коммутатора- Можно предусмотреть все нюансы при помощи специальных программ- Большая зона покрытия одной AP – это хорошо.- Радиообследование необходимо только на этапе проектирования сети.- Можно обследовать бетонную коробку строящегося здания. Результаты после появления интерьера, перегородок и мебели не изменяться.- Существуют типовые проекты для похожих площадок.
  47. 47. Безопасность 802.11 Непротокольные угрозы: Неадекватный Site Survey Внешние антенны, Wi Mesh
  48. 48. Безопасность WLAN Шифрация: AES (Advanced Encryption Standard) WPA2: 1. Новый (10.2000) 2. Более криптостойкий чем DES-ы и ГОСТ28147-89 3. Длина ключа 128, 192, 256 bit (Wlan – 128) 4. Обеспечивает также поддержку целостности 5. Rijndael алгоритм отличен от шифрования «сеть Фейстеля» что является и преимуществом и недостатком….. TKIP от безысходностиhttp://www.pcworld.com/businesscenter/article/153396/once_thought_safe_wpa_wifi_encryption_is_cracked.html (но это больше теория) Используйте AES (WPA2)Hole 196 MadWiFi driver – пока используйте Peer-to-Peer Blocking Mode…
  49. 49. Безопасность WLAN Как в этом разобраться?
  50. 50. Безопасность WLAN AP и контроллер Протокол LWAPP, разработан специально для работы Точек доступа с контроллером LWAPP Tunnel (Ethertype 0xBBBB, UDP 12222 12223) Управление - AES Данные - инкапсулированы LWAPP может быть L2 или L3 Взаимная аутентификация —X.509 Новый протокол CAPWAP, разработан для работы Точек доступа не только WiFi (RFC5415) CAPWAP Tunnel (UDP 5246, 5247) Управление - DTLS Данные – DTLS (опционально 6.0) CAPWAP может быть только L3 Взаимная аутентификация —X.509
  51. 51. Безопасность WLAN NAC in-band Постоянный анализ любого трафикаЛюбых пользователей, контроль полосы Пропускания в реальном времени. NAC Appliance
  52. 52. Безопасность WLAN NAC Framework Доступ в сеть AccessClient Point RADIUS Server ACS 4.x Более «дешевый» способ: По-запросное управление доступом NAC Server Vendor - X
  53. 53. Безопасность WLAN РЭБ Spoof Unicast Deauthentication Spoof Unicast Deauthentication 2 AP Access Point Containment Rogue APController
  54. 54. Безопасность WLAN РЭБ RLDP DHCP Access point Rogue AP IP Address Connect (port 6352) Controller
  55. 55. Безопасность WLAN Этапы борьбы с злодеями:Прослушивание всех устройств и анализ информации изbeacon пакетов.Отслеживание проводных подключений и трассировка их.Блокировка портов на switch-ах, определение местоположенияНа карте.Включение режимов подавления.«Физическое» устранение проблемы. (по возможности)
  56. 56. Безопасность WLAN Мониторинг врагов: АР может следить как в обычном (Local), так и в специальном (monitor) режимах. Далее следует классификация: Rogue Rule: Marked as SSID: tmobile Friendly RSSI: -80dBm Rogue Rule: Detected as Marked as SSID: Corporate Rogue Malicious RSSI: -70dBm Rogues Marked as Matching No Unclassified Rule
  57. 57. Безопасность WLAN Мониторинг врагов: Далее может следовать трассировка:
  58. 58. Безопасность WLAN Мониторинг врагов: Далее определение местоположения на карте:
  59. 59. Безопасность WLAN Мониторинг врагов: Далее подавление:
  60. 60. Безопасность WLAN Мониторинг врагов: Далее подавление: Сценарий Метод подавленияRogue AP Broadcast Deauth frames Rogue AP иклиенты Broadcast and Unicast Deauth
  61. 61. Безопасность WLAN IDS и wIPS: РЭБ …еще и сигнатурная защита
  62. 62. Безопасность WLAN IDS и wIPS:Базовая IDS присутствует в контроллерах по умолчанию.Для реализации IPS понадобится MSE !Отличия:- MSE собирает информацию от контроллеров и только потом докладываетна WCS.-База данных атак существенно больше.- Есть возможность «захвата» атаки для анализа- Отчеты за период- Меньше вероятность ложных срабатываний
  63. 63. Безопасность WLAN IDS и wIPS: AP Attack Detection 24x7 Scanning Over-the-Air Detection WLC Configuration wIPS AP Management MSE Alarm Archival Capture Storage Complex Attack Analysis, Forensics, Events WCS Centralized Monitoring Historic Reporting Monitoring, Reporting
  64. 64. Безопасность WLAN IDS и wIPS: 1130 1040 1140 1260 3500 3600
  65. 65. Безопасность проводных сегментов Чтобы не думать о безопасности в проводах используй это: Internet Virtual Anchor Controller External Services SSID: GUEST External DNS server Rate Limit = 500Kbps WEB Server Internet Routers WLC Tunnel to Virtual AnchorГостевой доступ External DMZ External Firewall G G SSID Client Default Gateway G = GUEST 2 = Internal 2 WAN Remote Office Remote Office 1 = Internal 1 1 2 SSID: Internal SSID: Internal SSID: GUEST
  66. 66. Уже не Новое 802.11n, во-первых 300М+300М А местами 450М300 М – это привет из прошлого («Turbo») расширение полос: 20МГц+20МГцПолучается немного точек на одной поляне можно разместить… Уже ратифицирован. 802.11n 11n + 5.1 – 5.7 и 200мв (5, 2.4)
  67. 67. Новое 802.11n, во-первых 300М+300М Cisco предлагает M-drive. Это: RRM + DFS + ClientLink + CleanAir TechnologyПочему 802.11n обеспечивает лучшее покрытие ? - Beam Forming… 802.11a/g 802.11n 11n + 5.1 – 5.7 и 200мв (5, 2.4) …
  68. 68. Новое 802.11n:Почему 802.11n обеспечивает лучшее покрытие ? - Beam Forming…802.11a/g 802.11n
  69. 69. Новое 802.11n:Почему 802.11n обеспечивает лучшее покрытие ? - Beam Forming… 802.11a/g Beam Forming 802.11n
  70. 70. Новое 802.11n:Beam Forming здорово помогает защититься от подслушивания.Ведь сниферящему ноутбуку нужно быть в луче, ориентированном надругой ноутбук !А это могут быть всего-навсего кубические дециметры.
  71. 71. Новое 802.11n: Up to 65% Increase in Throughput 13.6% No Connection Throughput vs. Distance without 87.7% ClientLink 70.4% 89.5%Test: 802.11a/g device with 802.11n networkSource: Miercom
  72. 72. Новое 802.11n: Эта функциональность не поможет если : - Ваш девайс 802.11b - У Вас и так все хорошо -У вас более 15 или 128 (2.0 AP3600) клиентов нуждаются в этомЕще раз, зачем это нужно?Один из ответов: Экономия батареекНа мобильных устройствах! В контроллерах с 6.0
  73. 73. Новое 802.11ac:• Еще больше channel bonding, увеличено с 40 MHz 802.11n, до 80 или 160MHz (от 117% до 333% увеличение скорости)• Модуляция 256 QAM, 802.11n используется 64QAM (33%)• MIMO. 802.11n до 4 объемных потоков, 802.11ac до восьми (100%).Скорее всего 2.4 останется для 802.11n 1.3Gb 5Ghz
  74. 74. НовоеWCS 7.x удобное управление, поддержка Clean Air…
  75. 75. НовоеWCS 7.0 Новая калибровочная модель Наконец то добавлен Client Walk ! Точность предсказания улучшена существенно.
  76. 76. НовоеWLC 7.3 существенные изменения!vWLCКонтроллер 8500 и Local и FLexConnect. 64000 users, 6000 APs (для SP)Добавлен NBARДетекция первого http пакета для ISE даже в режиме FLexConnectМного добавлено для режима Flexconnect(DHCPextention,NAT,PPPoe…)Direct-connect access points on the 2500 Series controllerНовые АР 2600 с новым CleanAirПоддержка WGB на автономных АРMSE: устройства по зонамMSE улучшение по CleanAirCisco Prime NCS: улучшения в интерфейсе, авто трэйс портовкоммутатора, новые карты, поддержка не-Cisco свичей, контроллерови АР (свичи, поддерживающиеRFC 1213(работа через MIB) иконтроллеры/АР Aruba Networks )…
  77. 77. Курсы: CCNA Wireless 1. IUWNE – Wireless Network Essential 640-721 CCNP Wireless 1. IUAWS – Security. 642-736 2. CUWSS – Site Survey. 642-731 3. IUWMS – Mobility Services. 642-746 4. IUWVN - Voice. 642-741 CCIE Wireless …
  78. 78. СПАСИБО ЗА ВНИМАНИЕ!Контакты:Сергей МонинCCIE, CCSI, CQS, чего-то еще…sm@redcenter.ruТел.: +7 (495) 984-2764Москва, Киевское шоссе, Бизнес-парк Румянцево,REDLAB/REDCENTER

×