Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Возможности современных беспроводных сетей Cisco
1. Возможности современных
беспроводных сетей Cisco
Сергей Монин 19/11/2012
Учебный центр REDCENTER
2. Содержани
е
Введение
Возможности современных WLAN,
Продуктовая линейка кратко.
Сети WiMesh: дизайн, поддержка
Принципы радиопланирования.
Безопасность: современные
возможности WIPS и противодействие
rogue APs, механизмы защиты.
Новое.
Выводы
3. Введение
Развитие беспроводных сетей в мире
Беспрецедентные темпы
WLAN (Мощные, полнофункциональные сети предприятий)
Домовые сети
Соединение удаленных проводных сетей на большие расстояния
Мониторинг безопасности, системы позиционирования на карте
Mesh сети уличного и внутриофисного исполнения
4. Введение
Развитие Outdoor-mesh и прото outdoor беспроводных сетей в мире
Потребители:
Провайдеры
Широкополосный доступ
Муниципальные сети
Транспорт
Нефте-газо добыча/транспортировка
С 21.04.2011 доступны к заказу АР домена -R
5. Введение
Локальные сети с контроллером vs :
Единая система организации WLAN.
Гибкая система управления безопасностью
(встроенные механизмы обнаружения вторжений).
Высокая производительность.
Встроенная система отслеживания перемещений.
Уменьшение затрат на развертывание и поддержку сети.
Простота управления беспроводной сетью большого масштаба.
Облегчен Site Survey.
Сравним со standalone решениями…
6. Введение
Локальные сети с контроллером:
Автоматическое управление
производительностью сети:
Восстановление покрытия при
выходе из строя какой-либо АР
В случае перегрузки, переключение
новых пользователей
7. Введение
Локальные сети (точки доступа):
…Новые 2600, 1600, старые 1131…
3600 3500 1260 1140 1040 600 1550
Скорость, Mb 450 300 300 300 300 300 300
CleanAir да да Да
ClientLink 2.0 Да да да да
Rougue Detection да Да да да да Да
WIPS да да да да Да
Office Extend Да
FlexConnect да да да да да В 7.2
Mesh да да да да да Да
9. Введение
Локальные сети (old контроллеры управления):
(old
2106 (6,12,25) AP
3750G (25-50)
WiSM
Wireless Lan controller module (6,8,12,25 AP)
5500
Все, что создано на основе 4400 серии будет работать только в версиях 7.0.ххх ! Не выше…
10. Введение
Локальные сети (контроллеры управления):
4404-100 WiSM 5508
Количество АР на 2400 3600 >7000
кластер 1500 (per chassis)
Количество АР на 100 300 12 - 250
модуль/контр.
Контроллеров в 24 5 Modules per Chassis
кластере 12 Modules per Cluster
Uplink возможности 4 – 1000Base-X SFP Any Catalyst interfaces 8 – 1000Base-X SFP
Макс. Пропускная 4 Gbps 8 Gbps 8 Gbps
способность (1 устр.)
Макс. Пропускная 4 Gbps Bus 6500… 8 Gbps
способность (шасси)
Поддержка VPN 2 ESM Cisco VPN Services Module Inside
(встроенная)
- Cisco Firewall Services
Интеграция с Firewall
Module
12. Новое
Контроллер 5508:
5508:
8 Gigabit Ethernet Status
Service Port (RJ45) Uplinks (SFP slots) LEDs
Serial Console Port
(Mini USB Type B) Redundant Power Supply
10-core Control CPU
Serial Console Port (RJ45)
10-core Data CPU
13. Новое
Контроллеры свежие :
Enterprise, Campus… Branch Mobile
Для HREAP АР
5500 Series Flex 7500 Series+ 8500
SO-Medium Office WiSM2
AP 12 – 500 AP 500 – 6000
7000 – 10000 User-ов 64000 User-ов
8 – 10 GEth 2*10Ge
2500(4GEth) WLCM2 Спецконтроллер
AP 5/15/25/50 , 500 User-ов Для FlexConnect
300 Мбит (бывш. HREAP) точек
Local mode AP is not supported
Inter Controller mobility is not supported
LAG is not supported on WLC 7500
Виртуальный Data DTLS is not supported
Client and RFID Tag location is not supported
контроллер Voice CAC is not supported
7.3 Reliable multicast (Media Stream feature) is not supported
WGB is not supported
WLC 7500 platform will not be certified with FIPS
14. Новое
Контроллеры, свежие решения
FlexConnect:
FlexConnect:
Branch Mobile
Для HREAP АР
128K, 300ms
(100ms – голос)
15. Новое
Контроллеры, свежие решения
Virtual:
Virtual:
vWLC – решение для небольших/средних филиалов . VMWare позволяет
Нам разместить в одной коробке несколько сервисов:
Hardware: Cisco UCS, UCS Express, HP and IBM servers
VMware OS: ESX/ESXi 4.x/5.x
FlexConnect Mode: central and local switching
Maximum APs: 200
Maximum клиентов: 3000
Throughput performance up to 500 Mbps per virtual controller
Management with Cisco Prime Infrastructure 1.2 and above
All 802.11n APs with required software version 7.3 are supported.
APs will be operating in FlexConnect mode only.
AP autoconvert to FlexConnect is supported on controller.
New APs ordered will ship with 7.3 software from manufacturing.
Existing APs must be upgraded to 7.3 software before joining a virtual controller.
ЧЕГО НЕТ: Data DTLS, OEAP (no data DTLS),Rate Limiting,Internal DHCP server, Mobility/Guest
Anchor, Multicast-Unicast mode, PIMIPv6, Outdoor Mesh Access Points( an Outdoor AP with
FlexConnect mode will work)
16. Введение
Локальные сети (ПО):
WCS
Cisco Secure ACS
Cisco Prime NCS
Mobility Service Engine 3355 (Loc.App+wIPS)
17. Введение
Локальные сети (ПО):
Это слайд прощания с WCS, который скоро EOS..
Cisco Prime NCS: вырос из WCS, и позволяет управлять и диагностировать
и коммутаторы доступа и АР и контроллеры и MSE с поддержкой wIPS, CleanAir
и т.д. Может работать совместно с Cisco Identity Service Engine, который
в свою очередь вырастает из Cisco Secure ACS и NAC И который (в свою
очередь) может работать совместно с решениями MDM..
Здесь и далее WCS=Prime NCS
19. Введение
Локальные сети:
WCS
Эффективное обнаружение
местоположения родных и
вражеских устройств с
возможностью калибровки!
20. Введение
Локальные сети:
WCS
3 способа определения местоположения:
Ближайшая АР
Триангуляция Точность сравнимая с GPS
RF дактилоскопия
21. Введение
Локальные сети:
WCS режим предсказания покрытия
22. Введение
Районные и городские сети:
Можно заняться покрытием городов, дорог и интеграцией уличных и внутренних
сетей.
Si Si
Mesh
Controller
23. Введение
Районные и городские сети:
VLANs 32 PAPs
per RAP
Police
City
Public
72
Cntrls
Traffic per
cluster
16
MBSSIDs
8 Hops deep (3-4 recommended)
WCS поддерживает mesh сети
24. Введение
MESH сети + Google Earth :
WCS + Google maps…
25. Новое
АР 1524(a/g)
Dual Radio Backhaul
АР 1552 (n)
ClientLink, CleanAir
В 6 раз производительнее
DOCSIS (c)
Video Surveillance Hazardous (h)
Хорошая пропускная способность Internal ants (i)
Fiber SFP
1Gb Ethernet
Есть Вариант с НЕ
Fiber SFP Option совмещенными антеннами
Можно и к оптике
Universal Access
И клиенты и backhaul на
одном 5 ГГц интерфейсе..
Internal Battery Rugged, Industrial
Backup Option Enclosure
Можно небольшой, -40 до 55 C
встроенный UPS
Power over
Paintable Enclosure
Ethernet Можно красить
Сам может питать IP камеры..
26. Новое
АР 1524
Ch 165 Ch 153
1524SB 1524SB 1524SB
Dual backhaul: upstream и downstream на разных каналах
Выше скорость, меньше задержка
Автовыбор частот
Можно и с поддержкой клиентов на одном из 5.8 радио, НО…!
До 8 хопов (через 4 можно переиспользовать канал)
In Russia, outdoors, you can use 5GHz
channels:
56 to 64 (3) at 20dBm
132 to 140 (3) at 22dBm
149 to 161 (4) at 28dBm
27. Введение
АР 1524
Цель
• Wireless доступ клиентов
Как
• 9-16 cable nodes (RAP)
• 8-14 mesh nodes (MAP)
----------------------------------
•17-30 1524 на каждые 16 км
• 2-3 1242s в поезде
WGB on 5 GHz
AP on 2.4 GHz
In Russia, outdoors, you can use
5GHz channels:
56 to 64 (3) at 20dBm
132 to 140 (3) at 22dBm
149 to 161 (4) at 28dBm
conducted power from the AP
28. Введение
Enterprise Mesh сети :
300 метров 300 метров 300 метров
Сектор 4 Сектор 5 Сектор 6
60 метров
60 метров
Сектор 1 Сектор 2 Сектор 3
29. Введение
Enterprise Mesh сети:
Конструкция здания препятствует прокладке СКС (складские помещения,
ангары, высотные здания, памятники архитектуры)
Требуется обеспечить беспрерывное покрытие как внутри так и снаружи
помещений
Беспроводное подключение удаленных строений и объектов, таких точки
продаж
Прокладка СКС неприемлема по эстетическим соображениям
Временные беспроводные сети в арендованных помещениях –
конференции, выставки, спортивные мероприятия, семинары,
корпоративные мероприятия
1130AG
1242AG
15xx и Т.Д.
Требуется в 5 раз меньше портов на коммутаторах для подключения
точек доступа
Значительная экономия на строительстве СКС, на этапе внедрения за
счёт простоты конфигурации и инсталляции.
30. Введение
Глобальные и районные сети:
Как далеко ?
Даже самый медленный
WLAN стандарт 802.11b может
обеспечить скорость линка
точка-точка 2Мб на 40 км !
Какие провода могут такое ?
31. Введение
Глобальные и районные сети:
Проблемы:
Наличие прямой
видимости
Кривизна земли,
расчет зоны
Френеля
Наличие статичных
«мокрых»
предметов…
33. Принципы радиопланирования сетей
В процессе создания беспроводных сетей есть два вида исследований:
подготовка к внедрению и планирование
проверка качества сети и ее оптимизация
Необходимы: этажные планы
Требование по сервисам
– Данные
– Голос
– Определение местоположение (требования по расстоянию)
Плотность пользователей
Пропускная способность
Ключевой вопрос – где находятся пользователи?
33
34. Принципы радиопланирования сетей
Ключевые этапы проведения site survey
Подготовка
Обработка требований заказчика
Определение необходимых для внедрения сервисов
Ознакомление с планом помещений
Определение требуемой зоны покрытия беспроводной сети
Выявление проблемных зон радиопокрытия
Подготовка плана расстановки беспроводного оборудования для проведения радиообследования
Подготовка необходимого для проведения site survey оборудования и программного обеспечения
Проведение
Осмотр обследуемой территории
Расстановка оборудования в соответствии с ранее подготовленным планом
Проведение радиообследования
Корректировка расположения беспроводного оборудования
Проведение радиообследования
Результаты
Подготовка отчета о проведенном радиообследовании
Предоставление подробного плана окончательного размещения беспроводного оборудования
Фотографии
Предоставление готовой спецификации
35. Принципы радиопланирования сетей
Возможность успешно передать радиосигнал на определенное
расстояние зависит от нескольких параметров:
Мощности передатчика
Потери в кабеле между передатчиком и передающей антенной
Усиления передающей антенны
Потери при распространении сигнала в атмосфере
Усиления приемной антенны
Потерь в кабеле между приемной антенной и приемником
Чувствительностью приемника (минимальной силой сигнала,
который может успешно декодировать приемник)
36. Принципы радиопланирования сетей
Характеристики антенны
Ширина диаграммы направленности - х°
Диаграмма направленности (два графика)
Коэффициент усиления - dB Разъем RP-TNC
Применяется на большинстве
Рабочие температуры - C° точек доступа Cisco
Тип разъема – RP-TNC, N-type…
Крепление
Ближнее и дальнее поля антенны
“N” разъем
Используется на Mesh точках доступа
1500 серии и радиомостах 1400
37. Принципы радиопланирования сетей
Ослабление радиосигнала
Препятствия на пути Ослабление радиосигнала
после прохождения через
радиосигнала
препятствие
Гипсокартонные стены 3 дБ
Стены с металлической
6 дБ
арматурой
Бетонные стены 4 дБ
Стеклопакеты 3 дБ
Металлические двери 6 дБ
Металлические двери в
12 дБ
кирпичной кладке
Неправильное расположение
3 - 6 дБ
беспроводных устройств
*примерные значения
38. Принципы радиопланирования сетей
Enterprise решение с большей плотностью
Базовое покрытие, низкая стоимость
точек доступа
Пример с тремя
частотными каналами
43. Принципы радиопланирования сетей
Cisco Spectrum Expert: беспроводные телефоны
Expert:
Низкий
коэффициент
заполнения
размазанный по
всему спектру
Рост скачков сигнала
Пестрая картина =
частотные скачки
44. Принципы радиопланирования сетей
Cisco Spectrum Expert: аналоговые камеры
Expert:
Постоянный
сигнал
Коэффициен
т занятости =
100%
Полосы
постоянного
уровня
мощности
46. Принципы радиопланирования сетей
Распространенные ошибки
- Измерять на максимальной мощности
- Измерять ноутбуком, а работать должны другие девайсы
- Измерять с настройками точек доступа по умолчанию
- Инжектор питания Cisco позволит вынести точку доступа на 200 метров от
коммутатора
- Можно предусмотреть все нюансы при помощи специальных программ
- Большая зона покрытия одной AP – это хорошо.
- Радиообследование необходимо только на этапе проектирования сети.
- Можно обследовать бетонную коробку строящегося здания. Результаты
после появления интерьера, перегородок и мебели не изменяться.
- Существуют типовые проекты для похожих площадок.
47. Безопасность 802.11
Непротокольные угрозы:
Неадекватный Site Survey
Внешние антенны, Wi Mesh
48. Безопасность WLAN Шифрация:
AES (Advanced Encryption Standard) WPA2:
1. Новый (10.2000)
2. Более криптостойкий чем DES-ы и ГОСТ28147-89
3. Длина ключа 128, 192, 256 bit (Wlan – 128)
4. Обеспечивает также поддержку целостности
5. Rijndael алгоритм отличен от шифрования «сеть Фейстеля»
что является и преимуществом и недостатком…
.. TKIP от безысходности
http://www.pcworld.com/businesscenter/article/153396/
once_thought_safe_wpa_wifi_encryption_is_cracked.html (но это больше теория)
Используйте AES (WPA2)
Hole 196 MadWiFi driver – пока используйте Peer-to-Peer Blocking Mode…
50. Безопасность WLAN
AP и контроллер
Протокол LWAPP, разработан специально для работы
Точек доступа с контроллером
LWAPP Tunnel (Ethertype 0xBBBB, UDP 12222 12223)
Управление - AES
Данные - инкапсулированы
LWAPP может быть L2 или L3
Взаимная аутентификация —X.509
Новый протокол CAPWAP, разработан для работы
Точек доступа не только WiFi (RFC5415)
CAPWAP Tunnel (UDP 5246, 5247)
Управление - DTLS
Данные – DTLS (опционально 6.0)
CAPWAP может быть только L3
Взаимная аутентификация —X.509
51. Безопасность WLAN
NAC in-band
Постоянный анализ любого трафика
Любых пользователей, контроль полосы
Пропускания в реальном времени. NAC Appliance
52. Безопасность WLAN
NAC Framework
Доступ в сеть
Access
Client Point RADIUS
Server
ACS 4.x
Более «дешевый» способ:
По-
По-запросное управление доступом
NAC
Server
Vendor -
X
53. Безопасность WLAN
РЭБ
Spoof Unicast
Deauthentication
Spoof Unicast
Deauthentication
2 AP
Access Point Containment
Rogue AP
Controller
54. Безопасность WLAN
РЭБ RLDP
DHCP
Access point Rogue AP
IP Address
Connect (port 6352)
Controller
55. Безопасность WLAN
Этапы борьбы с злодеями:
Прослушивание всех устройств и анализ информации из
beacon пакетов.
Отслеживание проводных подключений и трассировка их.
Блокировка портов на switch-ах, определение местоположения
На карте.
Включение режимов подавления.
«Физическое» устранение проблемы. (по возможности)
56. Безопасность WLAN
Мониторинг врагов:
АР может следить как в обычном (Local), так и в специальном (monitor)
режимах. Далее следует классификация:
Rogue Rule:
Marked as
SSID: tmobile
Friendly
RSSI: -80dBm
Rogue Rule:
Detected as Marked as
SSID: Corporate
Rogue Malicious
RSSI: -70dBm
Rogues
Marked as
Matching No
Unclassified
Rule
57. Безопасность WLAN
Мониторинг врагов:
Далее может следовать трассировка:
58. Безопасность WLAN
Мониторинг врагов:
Далее определение местоположения на карте:
60. Безопасность WLAN
Мониторинг врагов:
Далее подавление:
Сценарий Метод подавления
Rogue
AP
Broadcast Deauth frames
Rogue
AP и
клиенты
Broadcast and Unicast Deauth
62. Безопасность WLAN
IDS и wIPS:
wIPS:
Базовая IDS присутствует в контроллерах по умолчанию.
Для реализации IPS понадобится MSE !
Отличия:
- MSE собирает информацию от контроллеров и только потом докладывает
на WCS.
-База данных атак существенно больше.
- Есть возможность «захвата» атаки для анализа
- Отчеты за период
- Меньше вероятность ложных срабатываний
65. Безопасность проводных сегментов
Чтобы не думать о безопасности в проводах используй это:
Internet Virtual Anchor Controller
External Services
SSID: GUEST External DNS server
Rate Limit = 500Kbps WEB Server
Internet Routers WLC
Tunnel to Virtual Anchor
Гостевой доступ
External DMZ
External Firewall G G SSID Client Default Gateway
G = GUEST
2 = Internal 2
WAN
Remote Office Remote Office 1 = Internal 1
1 2
SSID: Internal SSID: Internal
SSID: GUEST
66. Уже не Новое
802.11n, во-
802.11n, во-первых 300М+300М
А местами 450М
300 М – это привет из прошлого («Turbo») расширение полос: 20МГц+20МГц
Получается немного точек на одной поляне можно разместить…
Уже ратифицирован.
802.11n
11n + 5.1 – 5.7 и 200мв (5, 2.4)
67. Новое
802.11n, во-
802.11n, во-первых 300М+300М
Cisco предлагает M-drive. Это: RRM + DFS + ClientLink + CleanAir Technology
Почему 802.11n обеспечивает лучшее покрытие ? - Beam Forming…
802.11a/g
802.11n
11n + 5.1 – 5.7 и 200мв (5, 2.4) …
68. Новое
802.11n:
802.11n:
Почему 802.11n обеспечивает лучшее покрытие ? - Beam Forming…
802.11a/g
802.11n
69. Новое
802.11n:
802.11n:
Почему 802.11n обеспечивает лучшее покрытие ? - Beam Forming…
802.11a/g
Beam Forming
802.11n
70. Новое
802.11n:
802.11n:
Beam Forming здорово помогает защититься от подслушивания.
Ведь сниферящему ноутбуку нужно быть в луче, ориентированном на
другой ноутбук !
А это могут быть всего-навсего кубические дециметры.
71. Новое
802.11n:
802.11n:
Up to 65% Increase in Throughput
13.6% No Connection
Throughput vs. Distance
without
87.7% ClientLink
70.4%
89.5%
Test: 802.11a/g device with 802.11n network
Source: Miercom
72. Новое
802.11n:
802.11n:
Эта функциональность не
поможет если :
- Ваш девайс 802.11b
- У Вас и так все хорошо
-У вас более 15 или 128 (2.0
AP3600) клиентов
нуждаются в этом
Еще раз, зачем это нужно?
Один из ответов: Экономия батареек
На мобильных устройствах! В контроллерах с 6.0
73. Новое
802.11ac:
802.11ac:
• Еще больше channel bonding, увеличено с 40 MHz 802.11n, до 80 или 160
MHz (от 117% до 333% увеличение скорости)
• Модуляция 256 QAM, 802.11n используется 64QAM (33%)
• MIMO. 802.11n до 4 объемных потоков, 802.11ac до восьми (100%).
Скорее всего 2.4 останется для 802.11n
1.3Gb
5Ghz
75. Новое
WCS 7.0 Новая калибровочная модель
Наконец то добавлен Client Walk !
Точность предсказания улучшена существенно.
76. Новое
WLC 7.3 существенные изменения!
vWLC
Контроллер 8500 и Local и FLexConnect. 64000 users, 6000 APs (для SP)
Добавлен NBAR (а в 7.4 будет NBAR 2.0 1039 приложений!)
Детекция первого http пакета для ISE даже в режиме FLexConnect
Много добавлено для режима Flexconnect (DHCP extention, NAT, PPPoe…)
Direct-connect access points on the 2500 Series controller
Новые АР 2600 с новым CleanAir
Поддержка WGB на автономных АР
MSE: устройства по зонам
MSE улучшение по CleanAir
Cisco Prime NCS: улучшения в интерфейсе, авто трэйс портов
коммутатора, новые карты, поддержка не-Cisco свичей, контроллеров
и АР (свичи, поддерживающие RFC 1213(работа через MIB) и
контроллеры/АР Aruba Networks )
…
