Upload
cisco-russia
View
612
Download
1
Embed Size (px)
DESCRIPTION
Citation preview
Возможности современных
беспроводных сетей Cisco
Сергей Монин
Учебный центр REDCENTER
19/11/2012
Содержани
е Введение
Возможности современных WLAN, Продуктовая линейка кратко.
Сети WiMesh: дизайн, поддержка
Принципы радиопланирования.
Безопасность: современные
возможности WIPS и противодействие
rogue APs, механизмы защиты.
Новое.
Выводы
Введение
Развитие беспроводных сетей в мире
Беспрецедентные темпы
WLAN (Мощные, полнофункциональные сети предприятий)
Домовые сети
Соединение удаленных проводных сетей на большие расстояния
Мониторинг безопасности, системы позиционирования на карте
Mesh сети уличного и внутриофисного исполнения
Введение
Развитие Outdoor-mesh и прото outdoor беспроводных сетей в мире
Потребители:
Провайдеры
Широкополосный доступ
Муниципальные сети
Транспорт
Нефте-газо добыча/транспортировка
С 21.04.2011 доступны к заказу АР домена -R
Введение
Локальные сети с контроллером vs : Единая система организации WLAN.
Гибкая система управления безопасностью
(встроенные механизмы обнаружения вторжений).
Высокая производительность.
Встроенная система отслеживания перемещений.
Уменьшение затрат на развертывание и поддержку сети.
Простота управления беспроводной сетью большого масштаба.
Облегчен Site Survey.
Сравним со standalone решениями…
Введение
Локальные сети с контроллером:
Восстановление покрытия при
выходе из строя какой-либо АР
В случае перегрузки, переключение
новых пользователей
Автоматическое управление
производительностью сети:
Локальные сети (точки доступа):
Введение
3600 3500 1260 1140 1040 600 1550
Скорость, Mb 450 300 300 300 300 300 300
CleanAir да да Да
ClientLink 2.0 Да да да да
Rougue Detection да Да да да да Да
WIPS да да да да Да
Office Extend Да
FlexConnect да да да да да В 7.2
Mesh да да да да да Да
…Новые 2600, старые 1131…
Локальные сети (аксессуары):
Всенаправленные антенны 2.0 dBi 2.2 dBi 5.2 dBI 12 dBi
Направленные антенны 6 dBi
6.5 dBi 9 dBi 13.5 dBi Yagi 14 dBi секторная 21 dBi тарелка …..
Небольшие маршрутизаторы
Серия 3200 Клиентские устройства
Введение
Локальные сети (контроллеры управления):
WiSM
Wireless Lan controller module (6,8,12,25 AP)
3750G (25-50)
Введение
526
2106 (6,12,25) AP
5500
Локальные сети (контроллеры управления):
4404-100 WiSM 5508
Количество АР на
кластер
2400 3600
1500 (per chassis)
>7000
Количество АР на
модуль/контр.
100 300 12 - 250
Контроллеров в
кластере
24 5 Modules per Chassis
12 Modules per Cluster
Uplink возможности 4 – 1000Base-X SFP Any Catalyst interfaces 8 – 1000Base-X SFP
Макс. Пропускная
способность (1 устр.)
4 Gbps 8 Gbps 8 Gbps
Макс. Пропускная
способность (шасси)
4 Gbps Bus 6500… 8 Gbps
Поддержка VPN
(встроенная)
2 ESM Cisco VPN Services Module Inside
Интеграция с Firewall - Cisco Firewall Services
Module
Введение
Контроллеры:
# of APs
100 25
WiSM-300
12 50 300 6
Perf
orm
an
ce &
Scale
1
5508-12
250 500
5508-12, 25, 50, 100, 250 (LICENSE-BASED)
5508-25 5508-50 5508-100 5508-250
WLCME-6, 8, 12, 25
3750G-25, 50
4404-100
4402-12, 25, 50
2106, 12, 25
H-REAP
Новое
Контроллер 5508:
8 Gigabit Ethernet
Uplinks (SFP slots)
Serial Console Port (RJ45)
Serial Console Port
(Mini USB Type B)
Status
LEDs Service Port (RJ45)
Новое
10-core Control CPU
10-core Data CPU
Redundant Power Supply
Контроллеры свежие :
Новое
SO-Medium Office
2500(4GEth) WLCM2
AP 5/15/25/50 , 500 User-ов
300 Мбит
5500 Series WiSM2
Enterprise, Campus…
AP 12 – 500
7000 – 10000 User-ов
8 – 10 GEth
Flex 7500 Series+ 8500
Branch Mobile
Для HREAP АР
AP 500 – 6000
64000 User-ов
2*10Ge
Спецконтроллер
Для FlexConnect
(бывш. HREAP) точек
Local mode AP is not supported
Inter Controller mobility is not supported
LAG is not supported on WLC 7500
Data DTLS is not supported
Client and RFID Tag location is not supported
Voice CAC is not supported
Reliable multicast (Media Stream feature) is not supported
WGB is not supported
WLC 7500 platform will not be certified with FIPS
Виртуальный контроллер
7.3
Контроллеры, свежие решения
FlexConnect:
Новое
Branch Mobile
Для HREAP АР
128K, 300ms
(100ms – голос)
Контроллеры, свежие решения
Virtual:
Новое
vWLC – решение для небольших/средних филиалов . VMWare позволяет
Нам разместить в одной коробке несколько сервисов:
Hardware: Cisco UCS, UCS Express, HP and IBM servers
VMware OS: ESX/ESXi 4.x/5.x FlexConnect Mode: central and local switching Maximum APs: 200 Maximum клиентов: 3000 Throughput performance up to 500 Mbps per virtual controller Management with Cisco Prime Infrastructure 1.2 and above
All 802.11n APs with required software version 7.3 are supported.
APs will be operating in FlexConnect mode only. AP autoconvert to FlexConnect is supported on controller. New APs ordered will ship with 7.3 software from manufacturing. Existing APs must be upgraded to 7.3 software before joining a virtual controller.
ЧЕГО НЕТ: Data DTLS, OEAP (no data DTLS),Rate Limiting,Internal DHCP server, Mobility/Guest
Anchor, Multicast-Unicast mode, PMIPv6, Outdoor Mesh Access Points( an Outdoor AP with FlexConnect mode will work)
Локальные сети (ПО):
WCS
Cisco Secure ACS
Cisco Prime NCS
Mobility Service Engine 3355 (Loc.App+wIPS)
Введение
Локальные сети (ПО):
Это слайд прощания с WCS, который скоро EOS..
Cisco Prime NCS: вырос из WCS, и позволяет управлять и диагностировать
И коммутаторы доступа и АР и контроллеры и MSE с поддержкой wIPS, CleanAir
и т.д. Может работать совместно с Cisco Identity Service Engine, который в свою очередь вырастает из Cisco Secure ACS и NAC
Здесь и далее WCS=Prime NCS
Введение
Локальные сети (ПО WCS+Location Appliance):
ПЛАН ОФИСА
Введение
Эффективное обнаружение
местоположения родных и
вражеских устройств с
возможностью калибровки!
WCS
Локальные сети:
Введение
3 способа определения местоположения:
Ближайшая АР
Триангуляция
RF дактилоскопия
Точность сравнимая с GPS
WCS
Локальные сети:
Введение
WCS режим предсказания покрытия
Локальные сети:
Введение
Введение
Районные и городские сети:
SiSi SiSi
Mesh Controller
Можно заняться покрытием городов, дорог и интеграцией уличных и внутренних
сетей.
Введение Районные и городские сети:
Police
City
Public
Traffic
VLANs
8 Hops deep (3-4 recommended)
32 PAPs per RAP
72 Cntrls per
cluster
16 MBSSIDs
WCS поддерживает mesh сети
Введение MESH сети + Google Earth :
WCS + Google maps…
АР 1524(a/g)
Новое
Dual Radio Backhaul
Fiber SFP Option Можно и к оптике
Power over
Ethernet Сам может питать IP камеры..
Rugged, Industrial
Enclosure -40 до 55 C
Paintable Enclosure Можно красить
Internal Battery
Backup Option Можно небольшой,
встроенный UPS
Universal Access И клиенты и backhaul на
одном 5 ГГц интерфейсе..
Video Surveillance Хорошая пропускная способность
АР 1552 (n) ClientLink, CleanAir
В 6 раз производительнее DOCSIS (c) Hazardous (h) Internal ants (i) Fiber SFP 1Gb Ethernet
АР 1524
Новое
Ch 165 Ch 153
Dual backhaul: upstream и downstream на разных каналах
Выше скорость, меньше задержка
Автовыбор частот
Можно и с поддержкой клиентов на одном из 5.8 радио, НО…!
До 8 хопов (через 4 можно переиспользовать канал)
1524SB 1524SB 1524SB
In Russia, outdoors, you can use 5GHz
channels:
56 to 64 (3) at 20dBm
132 to 140 (3) at 22dBm
149 to 161 (4) at 28dBm
АР 1524
Введение
Цель
• Wireless доступ клиентов
Как
• 9-16 cable nodes (RAP)
• 8-14 mesh nodes (MAP)
----------------------------------
•17-30 1524 на каждые 16 км
• 2-3 1242s в поезде
WGB on 5 GHz
AP on 2.4 GHz
In Russia, outdoors, you can use
5GHz channels:
56 to 64 (3) at 20dBm
132 to 140 (3) at 22dBm
149 to 161 (4) at 28dBm
conducted power from the AP
Введение
Enterprise Mesh сети :
300 метров 300 метров 300 метров
Сектор 1 Сектор 2 Сектор 3
60 метров
Сектор 4 Сектор 5 Сектор 6
60 метров
Enterprise Mesh сети:
Введение
Требуется в 5 раз меньше портов на коммутаторах для подключения
точек доступа
Значительная экономия на строительстве СКС, на этапе внедрения за
счѐт простоты конфигурации и инсталляции.
Конструкция здания препятствует прокладке СКС (складские помещения, ангары, высотные здания, памятники архитектуры)
Требуется обеспечить беспрерывное покрытие как внутри так и снаружи помещений
Беспроводное подключение удаленных строений и объектов, таких точки продаж
Прокладка СКС неприемлема по эстетическим соображениям
Временные беспроводные сети в арендованных помещениях – конференции, выставки, спортивные мероприятия, семинары, корпоративные мероприятия
1130AG 1242AG 15xx
Глобальные и районные сети:
Как далеко ?
Даже самый медленный
WLAN стандарт 802.11b может
обеспечить скорость линка
точка-точка 2Мб на 40 км !
Какие провода могут такое ?
Введение
Глобальные и районные сети:
Проблемы:
Наличие прямой
видимости
Кривизна земли,
расчет зоны
Френеля
Наличие статичных
«мокрых»
предметов…
Введение
1400
1310 1500
350
Outdoor сети:
Введение
1524
Описание далi буде.
Принципы радиопланирования сетей
33
В процессе создания беспроводных сетей есть два вида исследований:
подготовка к внедрению и планирование
проверка качества сети и ее оптимизация
Необходимы: этажные планы
Требование по сервисам
– Данные
– Голос
– Определение местоположение (требования по расстоянию)
Плотность пользователей
Пропускная способность
Ключевой вопрос – где находятся пользователи?
Принципы радиопланирования сетей
Подготовка
Обработка требований заказчика
Определение необходимых для внедрения сервисов
Ознакомление с планом помещений
Определение требуемой зоны покрытия беспроводной сети
Выявление проблемных зон радиопокрытия
Подготовка плана расстановки беспроводного оборудования для проведения радиообследования
Подготовка необходимого для проведения site survey оборудования и программного обеспечения
Проведение
Осмотр обследуемой территории
Расстановка оборудования в соответствии с ранее подготовленным планом
Проведение радиообследования
Корректировка расположения беспроводного оборудования
Проведение радиообследования
Результаты
Подготовка отчета о проведенном радиообследовании
Предоставление подробного плана окончательного размещения беспроводного оборудования
Фотографии
Предоставление готовой спецификации
Ключевые этапы проведения site survey
Принципы радиопланирования сетей
Возможность успешно передать радиосигнал на определенное расстояние зависит от нескольких параметров:
Мощности передатчика
Потери в кабеле между передатчиком и передающей антенной
Усиления передающей антенны
Потери при распространении сигнала в атмосфере
Усиления приемной антенны
Потерь в кабеле между приемной антенной и приемником
Чувствительностью приемника (минимальной силой сигнала, который может успешно декодировать приемник)
Характеристики антенны
Ширина диаграммы направленности - х°
Диаграмма направленности (два графика)
Коэффициент усиления - dB
Рабочие температуры - C°
Тип разъема – RP-TNC, N-type…
Крепление
Ближнее и дальнее поля антенны
Принципы радиопланирования сетей
Разъем RP-TNC Применяется на большинстве
точек доступа Cisco
“N” разъем Используется на Mesh точках доступа
1500 серии и радиомостах 1400
Принципы радиопланирования сетей
Ослабление радиосигнала Препятствия на пути
радиосигнала
Ослабление радиосигнала после прохождения через
препятствие
Гипсокартонные стены 3 дБ
Стены с металлической
арматурой 6 дБ
Бетонные стены 4 дБ
Стеклопакеты 3 дБ
Металлические двери 6 дБ
Металлические двери в
кирпичной кладке 12 дБ
Неправильное расположение
беспроводных устройств 3 - 6 дБ
*примерные значения
Принципы радиопланирования сетей
Базовое покрытие, низкая стоимость Enterprise решение с большей плотностью
точек доступа
Пример с тремя
частотными каналами
Cisco Spectrum Expert:
Принципы радиопланирования сетей
Cisco Spectrum Expert: устройства 802.11
Принципы радиопланирования сетей
20 MHz 20 MHz
802.11 a or g
OFDM
802.11 b
DSSS
Cisco Spectrum Expert: Микроволновка
Принципы радиопланирования сетей
Сильный смещающийся
сигнал
Высокий коэффициент заполнения в узкой полосе спектра
Снос частоты
Cisco Spectrum Expert: Bluetooth
Принципы радиопланирования сетей
Cisco Spectrum Expert: беспроводные телефоны
Принципы радиопланирования сетей
Рост скачков сигнала
Пестрая картина =
частотные скачки
Низкий коэффициент
заполнения размазанный по всему спектру
Cisco Spectrum Expert: аналоговые камеры
Принципы радиопланирования сетей
Постоянный сигнал
Коэффициент занятости = 100%
Полосы постоянного
уровня
мощности
Cisco Spectrum Expert + WCS
Принципы радиопланирования сетей
Принципы радиопланирования сетей
Распространенные ошибки
- Измерять на максимальной мощности
- Измерять ноутбуком, а работать должны другие девайсы
- Измерять с настройками точек доступа по умолчанию
- Инжектор питания Cisco позволит вынести точку доступа на 200 метров от коммутатора
- Можно предусмотреть все нюансы при помощи специальных программ
- Большая зона покрытия одной AP – это хорошо.
- Радиообследование необходимо только на этапе проектирования сети.
- Можно обследовать бетонную коробку строящегося здания. Результаты после появления интерьера, перегородок и мебели не изменяться.
- Существуют типовые проекты для похожих площадок.
Безопасность 802.11
Непротокольные угрозы:
Неадекватный Site Survey
Внешние антенны, Wi Mesh
AES (Advanced Encryption Standard) WPA2:
1. Новый (10.2000)
2. Более криптостойкий чем DES-ы и ГОСТ28147-89
3. Длина ключа 128, 192, 256 bit (Wlan – 128)
4. Обеспечивает также поддержку целостности
5. Rijndael алгоритм отличен от шифрования «сеть Фейстеля»
что является и преимуществом и недостатком…
Безопасность WLAN Шифрация:
.. TKIP от безысходности http://www.pcworld.com/businesscenter/article/153396/
once_thought_safe_wpa_wifi_encryption_is_cracked.html (но это больше теория)
Используйте AES (WPA2)
Hole 196 MadWiFi driver – пока используйте Peer-to-Peer Blocking Mode…
Безопасность WLAN
Как в этом разобраться?
Безопасность WLAN
AP и контроллер
LWAPP Tunnel (Ethertype 0xBBBB, UDP 12222 12223)
Управление - AES Данные - инкапсулированы
LWAPP может быть L2 или L3
Взаимная аутентификация —X.509
Протокол LWAPP, разработан специально для работы
Точек доступа с контроллером
CAPWAP Tunnel (UDP 5246, 5247)
Управление - DTLS Данные – DTLS (опционально 6.0)
CAPWAP может быть только L3
Взаимная аутентификация —X.509
Новый протокол CAPWAP, разработан для работы
Точек доступа не только WiFi (RFC5415)
Безопасность WLAN NAC in-band
NAC Appliance
Постоянный анализ любого трафика Любых пользователей, контроль полосы
Пропускания в реальном времени.
NAC Framework
RADIUS Server
ACS 4.x
Access Point Client
NAC Server
Vendor - X
Доступ в сеть
Более «дешевый» способ:
По-запросное управление доступом
Безопасность WLAN
РЭБ
2 AP
Containment
Spoof Unicast Deauthentication
Rogue AP
Access Point
Controller
Spoof Unicast Deauthentication
Безопасность WLAN
РЭБ RLDP
Rogue AP
Access point
DHCP
IP Address
Connect (port 6352)
Controller
Безопасность WLAN
Этапы борьбы с злодеями:
Безопасность WLAN
Прослушивание всех устройств и анализ информации из
beacon пакетов.
Отслеживание проводных подключений и трассировка их.
Блокировка портов на switch-ах, определение местоположения
На карте.
Включение режимов подавления.
«Физическое» устранение проблемы. (по возможности)
Мониторинг врагов:
Безопасность WLAN
АР может следить как в обычном (Local), так и в специальном (monitor)
режимах. Далее следует классификация:
Detected as Rogue
Rogue Rule: SSID: tmobile RSSI: -80dBm
Marked as Friendly
Rogue Rule: SSID: Corporate
RSSI: -70dBm
Marked as Malicious
Rogues Matching No
Rule
Marked as Unclassified
Мониторинг врагов:
Безопасность WLAN
Далее может следовать трассировка:
Мониторинг врагов:
Безопасность WLAN
Далее определение местоположения на карте:
Мониторинг врагов:
Безопасность WLAN
Далее подавление:
Мониторинг врагов:
Безопасность WLAN
Далее подавление:
Rogue AP
Сценарий Метод подавления
Rogue AP и
клиенты
Broadcast and Unicast Deauth
frames
Broadcast Deauth frames
РЭБ …еще и сигнатурная защита
Безопасность WLAN
IDS и wIPS:
Безопасность WLAN
IDS и wIPS:
Базовая IDS присутствует в контроллерах по умолчанию.
Для реализации IPS понадобится MSE !
Отличия:
- MSE собирает информацию от контроллеров и только потом докладывает
на WCS.
-База данных атак существенно больше.
- Есть возможность «захвата» атаки для анализа
- Отчеты за период
- Меньше вероятность ложных срабатываний
Безопасность WLAN
IDS и wIPS:
Monitoring, Reporting
Over-the-Air Detection
wIPS AP Management
Complex Attack Analysis, Forensics, Events
AP Attack Detection
24x7 Scanning
WLC Configuration
MSE Alarm Archival
Capture Storage
WCS Centralized Monitoring
Historic Reporting
Безопасность WLAN
IDS и wIPS:
1130
1040
1140
1260
3500
3600
Безопасность проводных сегментов
Чтобы не думать о безопасности в проводах используй это:
WAN
Internet External Services External DNS server WEB Server
External DMZ External Firewall
Internet Routers
Virtual Anchor Controller
SSID: GUEST Rate Limit = 500Kbps
Remote Office
SSID: Internal SSID: GUEST
SSID Client Default Gateway
Tunnel to Virtual Anchor
Remote Office
SSID: Internal
WLC
G G
= GUEST = GUEST G
1 2
= Internal 1 1
= Internal 2 2
Гостевой доступ
802.11n, во-первых 300М+300М
А местами 450М
Уже не Новое
Уже ратифицирован.
802.11n
300 М – это привет из прошлого («Turbo») расширение полос: 20МГц+20МГц
Получается немного точек на одной поляне можно разместить…
11n + 5.1 – 5.7 и 200мв (5, 2.4)
802.11n, во-первых 300М+300М
Новое
Почему 802.11n обеспечивает лучшее покрытие ? - Beam Forming…
802.11a/g
802.11n
Cisco предлагает M-drive. Это: RRM + DFS + ClientLink + CleanAir Technology
11n + 5.1 – 5.7 и 200мв (5, 2.4) …
802.11n:
Новое
Почему 802.11n обеспечивает лучшее покрытие ? - Beam Forming…
802.11a/g
802.11n
802.11n:
Новое
Почему 802.11n обеспечивает лучшее покрытие ? - Beam Forming…
Beam Forming 802.11a/g
802.11n
802.11n:
Новое
Beam Forming здорово помогает защититься от подслушивания.
Ведь сниферящему ноутбуку нужно быть в луче, ориентированном на
другой ноутбук !
А это могут быть всего-навсего кубические дециметры.
802.11n:
No Connection
without
ClientLink
Throughput vs. Distance
Test: 802.11a/g device with 802.11n network Source: Miercom
Up to 65% Increase in Throughput
13.6%
87.7%
70.4%
89.5%
Новое
802.11n:
Эта функциональность не
поможет если :
- Ваш девайс 802.11b
- У Вас и так все хорошо
-У вас более 15 или 128 (2.0
AP3600) клиентов
нуждаются в этом
В контроллерах с 6.0
Новое
Еще раз, зачем это нужно?
Один из ответов: Экономия батареек
На мобильных устройствах!
802.11ac:
• Еще больше channel bonding, увеличено с 40 MHz 802.11n, до 80 или 160
MHz (от 117% до 333% увеличение скорости)
• Модуляция 256 QAM, 802.11n используется 64QAM (33%)
• MIMO. 802.11n до 4 объемных потоков, 802.11ac до восьми (100%).
Скорее всего 2.4 останется для 802.11n
Новое
1.3Gb 5Ghz
WCS 7.x удобное управление, поддержка Clean Air…
Новое
WCS 7.0 Новая калибровочная модель
Новое
Наконец то добавлен Client Walk !
Точность предсказания улучшена существенно.
WLC 7.3 существенные изменения!
Новое
vWLC
Контроллер 8500 и Local и FLexConnect. 64000 users, 6000 APs (для SP)
Добавлен NBAR
Детекция первого http пакета для ISE даже в режиме FLexConnect
Много добавлено для режима Flexconnect(DHCPextention,NAT,PPPoe…)
Direct-connect access points on the 2500 Series controller
Новые АР 2600 с новым CleanAir
Поддержка WGB на автономных АР
MSE: устройства по зонам
MSE улучшение по CleanAir
Cisco Prime NCS: улучшения в интерфейсе, авто трэйс портов
коммутатора, новые карты, поддержка не-Cisco свичей, контроллеров
и АР (свичи, поддерживающиеRFC 1213(работа через MIB) и
контроллеры/АР Aruba Networks )
…
1. IUAWS – Security. 642-736
2. CUWSS – Site Survey. 642-731
3. IUWMS – Mobility Services. 642-746
4. IUWVN - Voice. 642-741
Курсы:
CCNP Wireless
CCNA Wireless
1. IUWNE – Wireless Network Essential 640-721
CCIE Wireless
…
СПАСИБО ЗА ВНИМАНИЕ!
Контакты:
Сергей Монин
CCIE, CCSI, CQS, чего-то еще…
Тел.: +7 (495) 984-2764
Москва, Киевское шоссе, Бизнес-парк Румянцево,
REDLAB/REDCENTER