Возможности современных беспроводных сетей Cisco

Возможности современных беспроводных сетей Cisco

Сергей Монин

Учебный центр REDCENTER

19/11/2012

Содержание

Содержание

Введение

Возможности современных WLAN, Продуктовая линейка кратко.

Сети WiMesh: дизайн, поддержка

Принципы радиопланирования.

Безопасность: современные возможности WIPS и противодействие rogue APs, механизмы защиты.

Новое.

Выводы

ВведениеВведение

Развитие беспроводных сетей в мире

Беспрецедентные темпы WLAN (Мощные, полнофункциональные сети предприятий)

Домовые сети

Соединение удаленных проводных сетей на большие расстояния

Мониторинг безопасности, системы позиционирования на карте

Mesh сети уличного и внутриофисного исполнения


Развитие Outdoor-mesh и прото outdoor беспроводных сетей в мире

Потребители:

ПровайдерыШирокополосный доступМуниципальные сетиТранспортНефте-газо добыча/транспортировка

С 21.04.2011 доступны к заказу АР домена -R


Локальные сети с контроллеромЛокальные сети с контроллером vs vs ::Единая система организации WLAN.

Гибкая система управления безопасностью (встроенные механизмы обнаружения вторжений).

Высокая производительность.

Встроенная система отслеживания перемещений.

Уменьшение затрат на развертывание и поддержку сети.

Простота управления беспроводной сетью большого масштаба.

Облегчен Site Survey.Сравним со standalone решениями…

ВведениеВведениеЛокальные сети с контроллером:Локальные сети с контроллером:

Восстановление покрытия привыходе из строя какой-либо АР

В случае перегрузки, переключениеновых пользователей

Автоматическое управление производительностью сети:

Локальные сети (точкиЛокальные сети (точки доступа):доступа):


3600 3500 1260 1140 1040 600 1550Скорость, Mb 450 300 300 300 300 300 300

CleanAir да да Да

ClientLink 2.0 Да да да да

Rougue Detection да Да да да да Да

WIPS да да да да Да

Office Extend Да

FlexConnect да да да да да В 7.2

Mesh да да да да да Да

…Новые 2600, 1600, старые 1131…

Беспроводные сети (аксессуары):Беспроводные сети (аксессуары):

Всенаправленные антенны2.0 dBi2.2 dBi 5.2 dBI 12 dBi

Направленные антенны6 dBi6.5 dBi9 dBi13.5 dBi Yagi 14 dBi секторная21 dBi тарелка…..

Небольшие маршрутизаторы

Серия 3200


Синева – 5GhzОрандж – совмещенная антенна (2.4 и 5)

Локальные сети (Локальные сети (old old контроллеры управления):контроллеры управления):

WiSM

Wireless Lan controller module (6,8,12,25 AP)

3750G (25-50)


2106 (6,12,25) AP

5500

Все, что создано на основе 4400 серии будет работать только в версиях 7.0.ххх ! Не выше…

Локальные сетиЛокальные сети ((контроллеры управления):контроллеры управления):4404-100 WiSM 5508

Количество АР накластер

2400 36001500 (per chassis)

>7000

Количество АР намодуль/контр.

100 300 12 - 250

Контроллеров вкластере

24 5 Modules per Chassis12 Modules per Cluster

Uplink возможности 4 – 1000Base-X SFP Any Catalyst interfaces 8 – 1000Base-X SFP

Макс. Пропускнаяспособность (1 устр.)

4 Gbps 8 Gbps 8 Gbps

Макс. Пропускнаяспособность (шасси)

4 Gbps Bus 6500… 8 Gbps

Поддержка VPN(встроенная)

2 ESM Cisco VPN Services Module Inside

Интеграция с Firewall- Cisco Firewall Services

Module


Контроллеры:Контроллеры:

# of APs10025

WiSM-300

12 50 3006

Perf

orm

ance

& S

cale

1

5508-12

250 500

5508-12, 25, 50, 100, 250 (LICENSE-BASED)

5508-25 5508-50 5508-100 5508-250

WLCME-6, 8, 12, 25

3750G-25, 50

4404-1004402-12, 25, 50

2106, 12, 25

H-REAP

НовоеНовое

КонтроллерКонтроллер 55085508::

8 Gigabit EthernetUplinks (SFP slots)

Serial Console Port (RJ45)

Serial Console Port(Mini USB Type B)

StatusLEDsService Port (RJ45)


10-core Control CPU

10-core Data CPU

Redundant Power Supply

Контроллеры свежиеКонтроллеры свежие ::


SO-Medium Office

2500(4GEth) WLCM2AP 5/15/25/50 , 500 User-ов300 Мбит

5500 Series WiSM2

Enterprise, Campus…

AP 12 – 5007000 – 10000 User-ов8 – 10 GEth

Flex 7500 Series+ 8500

Branch MobileДля HREAP АР

AP 500 – 600064000 User-ов2*10GeСпецконтроллерДля FlexConnect(бывш. HREAP) точек

Local mode AP is not supportedInter Controller mobility is not supported

LAG is not supported on WLC 7500Data DTLS is not supported

Client and RFID Tag location is not supportedVoice CAC is not supported

Reliable multicast (Media Stream feature) is not supportedWGB is not supported

WLC 7500 platform will not be certified with FIPS

Виртуальный контроллер

7.3

Контроллеры, свежие решенияКонтроллеры, свежие решенияFlexConnectFlexConnect::


Branch MobileДля HREAP АР

128K, 300ms(100ms – голос)

Контроллеры, свежие решенияКонтроллеры, свежие решенияVirtualVirtual::


vWLC – решение для небольших/средних филиалов . VMWare позволяет Нам разместить в одной коробке несколько сервисов:

Hardware: Cisco UCS, UCS Express, HP and IBM serversVMware OS: ESX/ESXi 4.x/5.xFlexConnect Mode: central and local switchingMaximum APs: 200Maximum клиентов: 3000Throughput performance up to 500 Mbps per virtual controllerManagement with Cisco Prime Infrastructure 1.2 and above

All 802.11n APs with required software version 7.3 are supported.APs will be operating in FlexConnect mode only.AP autoconvert to FlexConnect is supported on controller.New APs ordered will ship with 7.3 software from manufacturing.Existing APs must be upgraded to 7.3 software before joining a virtual controller.

ЧЕГО НЕТ: Data DTLS, OEAP (no data DTLS),Rate Limiting,Internal DHCP server, Mobility/Guest Anchor, Multicast-Unicast mode, PIMIPv6, Outdoor Mesh Access Points( an Outdoor AP with FlexConnect mode will work)

Локальные сети (ПО):Локальные сети (ПО):WCS

Cisco Secure ACS

Cisco Prime NCS

Mobility Service Engine 3355 (Loc.App+wIPS)


Локальные сети (ПО):Локальные сети (ПО):Это слайд прощания с WCS, который скоро EOS..

Cisco Prime NCS: вырос из WCS, и позволяет управлять и диагностироватьи коммутаторы доступа и АР и контроллеры и MSE с поддержкой wIPS, CleanAir и т.д. Может работать совместно с Cisco Identity Service Engine, которыйв свою очередь вырастает из Cisco Secure ACS и NAC И который (в свою очередь) может работать совместно с решениями MDM..

Здесь и далее WCS=Prime NCS


Локальные сети (ПО Локальные сети (ПО WCS+Location ApplianceWCS+Location Appliance):):

ПЛАН ОФИСА


Эффективное обнаружениеместоположения родных и вражеских устройств с возможностью калибровки!

WCSЛокальные сети:Локальные сети:


3 способа определения местоположения:

Ближайшая АР Триангуляция RF дактилоскопия

Точность сравнимая с GPS

WCS

Локальные сети:Локальные сети:


WCS режим предсказания покрытия

Локальные сети:Локальные сети:



Районные и городские сети:Районные и городские сети:

SiSi SiSi

Mesh Controller

Можно заняться покрытием городов, дорог и интеграцией уличных и внутренних сетей.

ВведениеВведениеРайонные и городские сети:Районные и городские сети:

PoliceCityPublicTraffic

VLANs

8 Hops deep (3-4 recommended)

32 PAPs per RAP

72Cntrls per

cluster

16 MBSSIDs

WCS поддерживает mesh сети

ВведениеВведениеMESHMESH сетисети + Google Earth + Google Earth ::

WCS + Google maps…

АР 1524(a/g)


Dual Radio Backhaul

Fiber SFP OptionМожно и к оптике

Power over Ethernet

Сам может питать IP камеры..

Rugged, Industrial Enclosure

-40 до 55 C

Paintable Enclosure Можно красить

Internal Battery Backup Option

Можно небольшой,встроенный UPS

Universal AccessИ клиенты и backhaul на

одном 5 ГГц интерфейсе..

Video SurveillanceХорошая пропускная способность

АР 1552 (n)ClientLink, CleanAirВ 6 раз производительнееDOCSIS (c)Hazardous (h)Internal ants (i)Fiber SFP1Gb Ethernet Есть Вариант с НЕсовмещенными антеннами

АР 1524НовоеНовое

Ch 165 Ch 153

Dual backhaul: upstream и downstream на разных каналах

Выше скорость, меньше задержка

Автовыбор частот

Можно и с поддержкой клиентов на одном из 5.8 радио, НО…!

До 8 хопов (через 4 можно переиспользовать канал)

1524SB 1524SB 1524SB

In Russia, outdoors, you can use 5GHz channels: 56 to 64 (3) at 20dBm132 to 140 (3) at 22dBm149 to 161 (4) at 28dBm

АР 1524ВведениеВведение

Цель• Wireless доступ клиентов

Как• 9-16 cable nodes (RAP)• 8-14 mesh nodes (MAP)----------------------------------•17-30 1524 на каждые 16 км• 2-3 1242s в поезде

WGB on 5 GHzAP on 2.4 GHz

In Russia, outdoors, you can use 5GHz channels: 56 to 64 (3) at 20dBm132 to 140 (3) at 22dBm149 to 161 (4) at 28dBmconducted power from the AP


Enterprise MeshEnterprise Mesh сетисети ::

300 метров 300 метров 300 метров

Сектор 1 Сектор 2 Сектор 3

60 метров

Сектор 4 Сектор 5 Сектор 660 метров

Enterprise MeshEnterprise Mesh сети:сети:


Требуется в 5 раз меньше портов на коммутаторах для подключенияточек доступа

Значительная экономия на строительстве СКС, на этапе внедрения засчёт простоты конфигурации и инсталляции.

Конструкция здания препятствует прокладке СКС (складские помещения,ангары, высотные здания, памятники архитектуры)

Требуется обеспечить беспрерывное покрытие как внутри так и снаружипомещений

Беспроводное подключение удаленных строений и объектов, таких точкипродаж

Прокладка СКС неприемлема по эстетическим соображениямВременные беспроводные сети в арендованных помещениях –

конференции, выставки, спортивные мероприятия, семинары,корпоративные мероприятия

1130AG1242AG15xx и Т.Д.

Глобальные и районные сети:Глобальные и районные сети:Как далеко ?

Даже самый медленныйWLAN стандарт 802.11b может

обеспечить скорость линкаточка-точка 2Мб на 40 км !

Какие провода могут такое ?


Глобальные и районные сети:Глобальные и районные сети:

Проблемы:

Наличие прямой видимости

Кривизна земли, расчет зоны Френеля

Наличие статичных «мокрых» предметов…


1400

1310 1500

350

OutdoorOutdoor сети:сети:ВведениеВведение

1524

Описание далi буде.

Принципы радиопланирования сетейПринципы радиопланирования сетей

33

В процессе создания беспроводных сетей есть два вида исследований: подготовка к внедрению и планирование проверка качества сети и ее оптимизация

Необходимы: этажные планыТребование по сервисам

– Данные– Голос– Определение местоположение (требования по расстоянию)

Плотность пользователейПропускная способностьКлючевой вопрос – где находятся пользователи?


Подготовка Обработка требований заказчика Определение необходимых для внедрения сервисов Ознакомление с планом помещений Определение требуемой зоны покрытия беспроводной сети Выявление проблемных зон радиопокрытия Подготовка плана расстановки беспроводного оборудования для проведения радиообследования Подготовка необходимого для проведения site survey оборудования и программного обеспечения

Проведение Осмотр обследуемой территории Расстановка оборудования в соответствии с ранее подготовленным планом Проведение радиообследования Корректировка расположения беспроводного оборудования Проведение радиообследования

Результаты Подготовка отчета о проведенном радиообследовании Предоставление подробного плана окончательного размещения беспроводного оборудования Фотографии Предоставление готовой спецификации

Ключевые этапы проведения site survey


Возможность успешно передать радиосигнал на определенноерасстояние зависит от нескольких параметров:

Мощности передатчика

Потери в кабеле между передатчиком и передающей антенной

Усиления передающей антенны

Потери при распространении сигнала в атмосфере

Усиления приемной антенны

Потерь в кабеле между приемной антенной и приемником

Чувствительностью приемника (минимальной силой сигнала,который может успешно декодировать приемник)

Характеристики антенныХарактеристики антенныШирина диаграммы направленности - х°Диаграмма направленности (два графика)Коэффициент усиления - dBРабочие температуры - C°Тип разъема – RP-TNC, N-type…КреплениеБлижнее и дальнее поля антенны


Разъем RP-TNC Применяется на большинстве

точек доступа Cisco

“N” разъемИспользуется на Mesh точках доступа

1500 серии и радиомостах 1400


Ослабление радиосигналаПрепятствия на пути

радиосигналаОслабление радиосигнала

после прохождения через препятствие

Гипсокартонные стены 3 дБ

Стены с металлической арматурой

6 дБ

Бетонные стены 4 дБ

Стеклопакеты 3 дБ

Металлические двери 6 дБ

Металлические двери в кирпичной кладке

12 дБ

Неправильное расположение беспроводных устройств

3 - 6 дБ

*примерные значения


Базовое покрытие, низкая стоимость Enterprise решение с большей плотностью точек доступа

Пример с тремя частотными каналами

Cisco Spectrum ExpertCisco Spectrum Expert::Принципы радиопланирования сетейПринципы радиопланирования сетей

Cisco Spectrum ExpertCisco Spectrum Expert: : устройства 802.11устройства 802.11


20 MHz 20 MHz

802.11 a or gOFDM

802.11 bDSSS

Cisco Spectrum ExpertCisco Spectrum Expert:: МикроволновкаМикроволновка


Сильный смещающийся

сигнал

Высокий коэффициент заполнения в узкой полосе спектра

Снос частоты

Cisco Spectrum ExpertCisco Spectrum Expert: : BluetoothBluetooth


Cisco Spectrum ExpertCisco Spectrum Expert: : беспроводные телефоныбеспроводные телефоны


Рост скачков сигнала

Пестрая картина = частотные скачки

Низкий коэффициент заполнения размазанный по всему спектру

Cisco Spectrum ExpertCisco Spectrum Expert:: аналоговые камерыаналоговые камерыПринципы радиопланирования сетейПринципы радиопланирования сетей

Постоянный сигнал

Коэффициент занятости = 100%

Полосы постоянного

уровня мощности

Cisco Spectrum ExpertCisco Spectrum Expert + WCS+ WCSПринципы радиопланирования сетейПринципы радиопланирования сетей


Распространенные ошибки

- Измерять на максимальной мощности- Измерять ноутбуком, а работать должны другие девайсы- Измерять с настройками точек доступа по умолчанию- Инжектор питания Cisco позволит вынести точку доступа на 200 метров от

коммутатора- Можно предусмотреть все нюансы при помощи специальных программ- Большая зона покрытия одной AP – это хорошо.- Радиообследование необходимо только на этапе проектирования сети.- Можно обследовать бетонную коробку строящегося здания. Результаты

после появления интерьера, перегородок и мебели не изменяться.- Существуют типовые проекты для похожих площадок.

Безопасность 802.11

Непротокольные угрозы:Непротокольные угрозы:Неадекватный Site Survey

Внешние антенны, Wi Mesh

AES (Advanced Encryption Standard) WPA2:1. Новый (10.2000)2. Более криптостойкий чем DES-ы и ГОСТ28147-893. Длина ключа 128, 192, 256 bit (Wlan – 128)4. Обеспечивает также поддержку целостности5. Rijndael алгоритм отличен от шифрования «сеть Фейстеля»

что является и преимуществом и недостатком…

Безопасность WLAN Шифрация:

.. TKIP от безысходностиhttp://www.pcworld.com/businesscenter/article/153396/once_thought_safe_wpa_wifi_encryption_is_cracked.html (но это больше теория)

Используйте AES (WPA2)

Hole 196 MadWiFi driver – пока используйте Peer-to-Peer Blocking Mode…

Безопасность WLANКак в этом разобраться?

Безопасность WLANAP и контроллер

LWAPP Tunnel (Ethertype 0xBBBB, UDP 12222 12223)Управление - AESДанные - инкапсулированы

LWAPP может быть L2 или L3Взаимная аутентификация —X.509

Протокол LWAPP, разработан специально для работыТочек доступа с контроллером

CAPWAP Tunnel (UDP 5246, 5247)Управление - DTLSДанные – DTLS (опционально 6.0)

CAPWAP может быть только L3Взаимная аутентификация —X.509

Новый протокол CAPWAP, разработан для работыТочек доступа не только WiFi (RFC5415)

Безопасность WLANNAC in-band

NAC ApplianceNAC Appliance

Постоянный анализ любого трафикаПостоянный анализ любого трафикаЛюбых пользователей, контроль полосы Любых пользователей, контроль полосы

Пропускания в реальном времени.Пропускания в реальном времени.

NACNAC FrameworkFramework

RADIUS Server

ACS 4.x

AccessPointClient

NAC Server

Vendor -X

Доступ в сеть

Более «дешевый» способ:Более «дешевый» способ:ПоПо--запросное управление доступомзапросное управление доступом

Безопасность WLAN

РЭБ

2 APContainment

Spoof UnicastDeauthentication

Rogue AP

Access Point

Controller

Spoof UnicastDeauthentication

Безопасность WLANБезопасность WLAN

РЭБ RLDP

Rogue APAccess pointDHCP

IP Address

Connect (port 6352)

Controller


Этапы борьбы с злодеями:


Прослушивание всех устройств и анализ информации из beacon пакетов.

Отслеживание проводных подключений и трассировка их.

Блокировка портов на switch-ах, определение местоположенияНа карте.

Включение режимов подавления.

«Физическое» устранение проблемы. (по возможности)

Мониторинг врагов:


АР может следить как в обычном (Local), так и в специальном (monitor) режимах. Далее следует классификация:

Detected as Rogue

Rogue Rule:SSID: tmobileRSSI: -80dBm

Marked as Friendly

Rogue Rule:SSID: Corporate

RSSI: -70dBmMarked as Malicious

Rogues Matching No

RuleMarked as

Unclassified



Далее может следовать трассировка:



Далее определение местоположения на карте:



Далее подавление:

Мониторинг врагов:Безопасность WLANБезопасность WLAN

Далее подавление:

Rogue AP

Сценарий Метод подавления

Rogue AP и

клиенты

Broadcast and Unicast Deauth frames

Broadcast Deauth frames

РЭБ …еще и сигнатурная защита

Безопасность WLANБезопасность WLANIDS IDS ии wIPSwIPS::


Базовая IDS присутствует в контроллерах по умолчанию.Для реализации IPS понадобится MSE !

Отличия:- MSE собирает информацию от контроллеров и только потом докладываетна WCS.-База данных атак существенно больше.- Есть возможность «захвата» атаки для анализа- Отчеты за период- Меньше вероятность ложных срабатываний


Monitoring, Reporting

Monitoring, Reporting

Over-the-Air DetectionOver-the-Air Detection

wIPS AP ManagementwIPS AP Management

Complex Attack Analysis, Forensics, Events

Complex Attack Analysis, Forensics, Events

AP Attack Detection

24x7 Scanning

WLC Configuration

MSE Alarm Archival

Capture Storage

WCS Centralized Monitoring

Historic Reporting


113010401140126035003600

Безопасность проводных сегментовБезопасность проводных сегментовЧтобы не думать о безопасности в проводах используй это:Чтобы не думать о безопасности в проводах используй это:

WAN

Internet External ServicesExternal DNS serverWEB Server

External DMZExternal Firewall

Internet Routers

Virtual Anchor ControllerSSID: GUESTRate Limit = 500Kbps

Remote Office

SSID: InternalSSID: GUEST

SSID Client Default Gateway

Tunnel to Virtual Anchor

Remote Office

SSID: Internal

WLC

G G= GUEST= GUESTG

1 2= Internal 11

= Internal 22

Гостевой доступ

802.11n802.11n, во, во--первых 300М+300Мпервых 300М+300МА местами 450МА местами 450М

Уже не НовоеУже не Новое

Уже ратифицирован.

802.11n

300 М – это привет из прошлого («Turbo») расширение полос: 20МГц+20МГцПолучается немного точек на одной поляне можно разместить…

11n + 5.1 – 5.7 и 200мв (5, 2.4)

802.11n802.11n, во, во--первых 300М+300М первых 300М+300М НовоеНовое

Почему 802.11n обеспечивает лучшее покрытие ? - Beam Forming…802.11a/g

802.11n

Cisco предлагает M-drive. Это: RRM + DFS + ClientLink + CleanAir Technology

11n + 5.1 – 5.7 и 200мв (5, 2.4) …

802.11n802.11n::НовоеНовое

Почему 802.11n обеспечивает лучшее покрытие ? - Beam Forming…

802.11a/g

802.11n


Почему 802.11n обеспечивает лучшее покрытие ? - Beam Forming…

Beam Forming802.11a/g

802.11n


Beam Forming здорово помогает защититься от подслушивания.Ведь сниферящему ноутбуку нужно быть в луче, ориентированном на другой ноутбук !А это могут быть всего-навсего кубические дециметры.

802.11n802.11n::

No Connection without

ClientLink

Throughput vs. Distance

Test: 802.11a/g device with 802.11n networkSource: Miercom

Up to 65% Increase in Throughput

13.6%

87.7%70.4%

89.5%


802.11n802.11n::

Эта функциональность не поможет если :- Ваш девайс 802.11b- У Вас и так все хорошо-У вас более 15 или 128 (2.0 AP3600) клиентов нуждаются в этом

В контроллерах с 6.0


Еще раз, зачем это нужно?Один из ответов: Экономия батареек На мобильных устройствах!

802.11ac802.11ac::

• Еще больше channel bonding, увеличено с 40 MHz 802.11n, до 80 или 160 MHz (от 117% до 333% увеличение скорости)• Модуляция 256 QAM, 802.11n используется 64QAM (33%)• MIMO. 802.11n до 4 объемных потоков, 802.11ac до восьми (100%).Скорее всего 2.4 останется для 802.11n


1.3Gb5Ghz

WCS 7.x удобное управление, поддержка Clean Air…


WCS 7.0 Новая калибровочная модель


Наконец то добавлен Client Walk !Точность предсказания улучшена существенно.

WLC 7.3 существенные изменения!


vWLCКонтроллер 8500 и Local и FLexConnect. 64000 users, 6000 APs (для SP)Добавлен NBAR (а в 7.4 будет NBAR 2.0 1039 приложений!)Детекция первого http пакета для ISE даже в режиме FLexConnectМного добавлено для режима Flexconnect (DHCP extention, NAT, PPPoe…)Direct-connect access points on the 2500 Series controller Новые АР 2600 с новым CleanAirПоддержка WGB на автономных АРMSE: устройства по зонамMSE улучшение по CleanAirCisco Prime NCS: улучшения в интерфейсе, авто трэйс портов коммутатора, новые карты, поддержка не-Cisco свичей, контроллеров и АР (свичи, поддерживающие RFC 1213(работа через MIB) и контроллеры/АР Aruba Networks )…

1. IUAWS – Security. 642-736

2. CUWSS – Site Survey. 642-731

3. IUWMS – Mobility Services. 642-746

4. IUWVN - Voice. 642-741

Курсы:

CCNP Wireless

CCNA Wireless

1. IUWNE – Wireless Network Essential 640-721

CCIE Wireless…

СПАСИБО ЗА ВНИМАНИЕ!СПАСИБО ЗА ВНИМАНИЕ!

Контакты:

Сергей МонинCCIE, CCSI, CQS, чего-то еще…

[email protected]

Тел.: +7 (495) 984-2764Москва, Киевское шоссе, Бизнес-парк Румянцево,

REDLAB/REDCENTER