- 可用性;
- 安全;
- 自动化。
研究结果如下。自2019年以来,Cisco Catalyst 9800系列控制器的功能已得到显着改进-这些要点也反映在本文中。
您可以在此处阅读有关Wi-Fi 6技术的其他好处,实现示例和应用程序的信息。
解决方案概述
Cisco Catalyst 9800系列Wi-Fi 6控制器
基于IOS-XE操作系统(也用于Cisco交换机和路由器)的Cisco Catalyst 9800系列无线控制器系列有多种选择。
9800-80控制器的较旧型号支持高达80 Gb / s的无线带宽。一个9800-80控制器支持多达6,000个接入点和多达64,000个无线客户端。
中端型号9800-40控制器支持高达40 Gbps的吞吐量,多达2000个接入点和多达32,000个无线客户端。
除了这些型号之外,9800-CL无线控制器(CL代表Cloud)也包括在竞争分析中。9800-CL在VMWare ESXI和KVM虚拟机管理程序上的虚拟化环境中运行,其性能取决于控制器虚拟机的专用硬件资源。与旧的9800-80型号一样,在其最大配置下,Cisco 9800-CL控制器最多可支持6,000个接入点和64,000个无线客户端。
在控制器研究中,我们使用了支持2.4 GHz和5 GHz并能够动态切换到双5 GHz模式的Cisco Aironet AP 4800系列。
试验台
作为测试的一部分,一个机架由两个集群中运行的Cisco Catalyst 9800-CL无线控制器和Cisco Aironet AP 4800系列接入点组装而成,
戴尔和Apple笔记本电脑以及一台Apple iPhone被用作客户端设备。
辅助功能测试
可访问性定义为用户访问和使用系统或服务的能力。高可用性意味着独立于某些事件的连续访问系统或服务。
高可用性已在四个方案中进行了测试,前三个方案是可预测的或计划的事件,可在工作时间或下班时间发生。第五种情况是典型的故障,这是不可预测的事件。
方案说明:
- 错误修复-系统的微更新(错误修复或安全补丁),使您可以在不完全更新系统软件的情况下修复此错误或漏洞;
- 功能更新-通过安装功能更新来添加或扩展系统的当前功能;
- – ;
- – ;
- – .
通常,在许多竞争解决方案中,打补丁需要彻底更新无线控制器系统软件,这可能会导致计划外停机。对于思科解决方案,无需停止产品即可执行修补。在无线基础架构继续运行的同时,可以将修补程序应用于任何组件。
该过程本身非常简单。补丁文件将复制到Cisco无线控制器之一上的启动文件夹中,然后通过GUI或命令行确认操作。此外,通过图形界面或命令行,您仍可以撤消和删除补丁程序,而无需中断系统。
功能更新
应用功能软件更新以激活新功能。一种此类增强功能是对应用程序签名数据库的更新。作为测试,此程序包已安装在Cisco控制器中。与修补程序一样,在不停机或不中断系统的情况下,可以应用,安装或卸载功能更新。
全面更新
目前,控制器软件映像的完整更新以与功能映像相同的方式执行,即没有停机时间。但是,此功能仅在有多个控制器的群集配置中可用。完全更新是按顺序执行的:首先在一个控制器上,然后在第二个控制器上。
添加新的接入点模型
将以前没有使用过的控制器软件映像进行操作的新接入点连接到无线网络是一项相当常见的操作,尤其是在大型网络(机场,酒店,生产设施)中。通常在竞争对手的解决方案中,此操作需要更新系统软件或重新启动控制器。
将新的Wi-Fi 6 AP连接到Cisco Catalyst 9800系列控制器群集时,未观察到这些问题。无需更新控制器软件即可执行将新点连接到控制器的操作,并且此过程不需要重新启动,因此不会以任何方式影响无线网络。
控制器故障
在测试环境中,使用了两个Wi-Fi 6控制器(活动/ StandBy),并且接入点直接连接到两个控制器。
一个无线控制器处于活动状态,另一个无线控制器处于待机状态。如果活动控制器发生故障,则备用控制器将接管,其状态将更改为活动。对于接入点和客户端Wi-Fi,此过程不会中断。
安全
本节讨论安全方面,这在无线网络中非常重要。根据以下特征评估解决方案的安全性:
- 应用程序识别;
- 跟踪交通流(流量跟踪);
- 分析加密流量;
- 入侵检测和预防;
- 认证工具;
- 客户端设备保护工具。
应用识别
在企业和工业Wi-Fi市场中的各种产品中,产品在不同应用程序之间识别流量的方式有所不同。来自不同制造商的产品可以标识不同数量的应用程序。同时,竞争解决方案所指出的许多可能用于标识的应用程序实际上是网站,而不是唯一的应用程序。
应用程序识别的另一个有趣特征是:解决方案的识别精度差异很大。
考虑到进行的所有测试,我们可以负责任地声明Cisco Wi-Fi-6解决方案可以非常准确地执行应用程序识别:准确识别了Jabber,Netflix,Dropbox,YouTube和其他流行的应用程序以及Web服务。而且,思科解决方案可以使用DPI(深度数据包检测)更深入地研究数据数据包。
追踪交通流量
进行了另一项测试,以找出系统是否可以准确跟踪和报告数据流(例如大文件移动)。为了对此进行测试,使用文件传输协议(FTP)通过网络发送了6.5兆字节的文件。
借助NetFlow及其硬件功能,思科的解决方案可以完成任务,并且能够跟踪此流量。检测到流量并立即识别出传输的确切数据量。
加密流量分析
用户数据流量越来越多地被加密。这样做是为了保护它免受入侵者的跟踪或拦截。但是与此同时,黑客越来越多地使用加密技术来隐藏其恶意软件并进行其他可疑的操作,例如中间人(MiTM)或键盘记录攻击。
大多数企业通过首先使用防火墙或入侵防御系统对其进行解密来检查某些加密通信。但是,此过程很耗时,并且不会使网络的整体性能受益。而且,一旦解密,该数据就容易被撬开。
Cisco Catalyst 9800系列控制器成功解决了通过其他方式分析加密流量的问题。该解决方案称为加密流量分析(ETA)。 ETA是一种目前在竞争解决方案中没有类似产品的技术,无需解密即可检测加密流量中的恶意软件。 ETA是IOS-XE的基本功能,其中包括Enhanced NetFlow,并使用高级行为算法来检测潜伏在加密流量中的恶意流量模式。
ETA不会解密消息,但会收集加密流量的元数据配置文件-数据包大小,数据包之间的时间间隔等。然后,将元数据在NetFlow v9记录中导出到Cisco Stealthwatch。
Stealthwatch的关键功能是连续进行流量监控并创建常规网络活动的基线指标。利用ETA发送给它的加密的流元数据,Stealthwatch应用了多层机器学习来识别可能指示可疑事件的交通行为异常。
去年,思科聘请了Miercom来独立评估思科加密流量分析解决方案。在此评估中,Miercom通过大型ETA和非ETA网络的加密和未加密流量分别分发了已知和未知威胁(病毒,特洛伊木马,勒索软件),以识别威胁。
为了进行测试,两个网络上都启动了恶意代码。在这两种情况下,都逐渐发现了可疑活动。最初,ETA网络检测到威胁的速度比非ETA网络快36%。同时,在工作过程中,ETA网络中的检测效率开始提高。结果,在ETA网络上运行了几个小时后,成功检测到三分之二的活动威胁,是非ETA网络的两倍。
ETA功能与Stealthwatch很好地集成在一起。威胁按严重性排序,显示详细信息,并在确认后采取纠正措施的选项。结论-ETA有效!
入侵检测与预防
思科现在拥有另一个功能强大的安全工具,即思科高级无线入侵防御系统(aWIPS),一种用于无线网络的威胁检测和防御引擎。 AWIPS在Cisco DNA中心的控制器,访问点和管理软件上运行。威胁检测,警报和防御过程结合了网络流量分析,网络设备和网络拓扑信息,基于签名的技术以及异常检测,以最终提供高精度并防止无线威胁。
将aWIPS完全集成到您的网络基础架构中,您可以连续监视有线和无线网络上的无线流量,并使用它自动分析来自许多来源的潜在攻击,以尽可能全面地识别和防止潜在攻击。
验证工具
目前,除了经典的身份验证手段外,Cisco Catalyst 9800系列解决方案还提供了WPA3支持。WPA3是WPA的最新版本,是为Wi-Fi网络提供身份验证和加密的一组协议和技术。
WPA3使用相等的同时身份验证(SAE)方法来提供最安全的用户保护,以防止第三方尝试进行密码猜测。当客户端连接到接入点时,它将执行SAE交换。如果成功,则它们中的每一个都将创建一个具有加密强度的密钥,从中将获得会话密钥,然后进入确认状态。此后,每次需要生成会话密钥时,客户端和访问点便可以输入确认状态。该方法使用前向保密性,攻击者可以在其中破解一个密钥,但不能破解所有其他密钥。
也就是说,SAE的构建方式是,拦截流量的攻击者只有一种尝试可以在所拦截的数据变得无用之前猜测密码。要组织长期的密码猜测,您将需要对访问点进行物理访问。
客户端设备保护
如今,Cisco Catalyst 9800系列无线解决方案的主要客户保护是Cisco Umbrella WLAN,这是一种基于云,基于DNS的网络安全服务,可自动检测已知威胁和新出现的威胁。
思科伞式WLAN为客户端设备提供了到Internet的安全连接。这是通过内容过滤实现的,即根据企业策略阻止对Internet上资源的访问。因此,可以保护Internet上的客户端设备免受恶意软件,勒索软件和网络钓鱼的侵害。策略执行基于60种持续更新的内容类别。
自动化
现代无线网络更加灵活和复杂,因此传统的从无线控制器配置和检索信息的方法还不够。网络管理员和信息安全专业人员需要自动化和分析工具,这会促使无线供应商提供此类工具。
为了应对这些挑战,Cisco Catalyst 9800系列无线控制器通过另一种下一代(YANG)数据建模语言以及传统API支持RESTCONF / NETCONF网络配置协议。
NETCONF是基于XML的协议,应用程序可以使用它来查询信息并更改网络设备(例如无线控制器)的配置。
除了这些方法之外,Cisco Catalyst 9800系列控制器还提供使用NetFlow和sFlow来获取,获取和分析流数据的功能。
对于安全和流量建模,跟踪特定流的能力是一种有价值的工具。为解决此问题,实施了sFlow协议,该协议可让您从每100个中捕获两个数据包。但是,有时这可能不足以进行流量的分析以及足够的研究和评估。因此,替代方案是由Cisco实现的NetFlow,它允许100%收集和导出指定流中的所有数据包以进行进一步分析。
尽管仅在控制器的硬件实现中可用,另一个功能可以使Cisco Catalyst 9800系列控制器中的无线网络自动化,但它是内置的Python支持,作为直接在无线控制器本身上使用脚本的附加组件。
最后,经过验证的SNMP v1,v2和v3支持在Cisco Catalyst 9800系列控制器中进行监视和管理操作,
因此,Cisco Catalyst 9800系列具有自动化的功能,可以完全响应当今的业务需求,提供新颖而独特的功能。以及各种规模和复杂性的无线网络中经过自动化测试和测试的工具。
结论
借助基于Cisco Catalyst 9800系列控制器的解决方案,Cisco在高可用性,安全性和自动化类别中均表现出色。
该解决方案完全满足所有高可用性要求,例如在计划外事件发生时不到一秒的故障转移以及计划中事件的停机时间为零。
Cisco Catalyst 9800系列控制器提供全面的安全性,可提供深度包检查以识别和管理应用程序,对数据流的完全可见性以及对加密通信中隐藏的威胁的识别,以及高级身份验证和客户端保护机制。
对于操作自动化和分析,Cisco Catalyst 9800系列使用流行的标准模型功能强大:YANG,NETCONF,RESTCONF,传统API和嵌入式Python脚本。
因此,思科在与时俱进并考虑到现代业务的所有挑战的情况下,再次确认其作为全球领先的网络解决方案制造商的地位。
有关Catalyst交换机系列的更多信息,请访问Cisco网站。