Презентации / CiscoWLAN_CVD_2018_2020-01-06_CW_prev-разблокирован
.pdfWLAN recommendations
Cisco AireOS поддерживает переключение с учетом состояния точки доступа и переключение с учетом состояния клиента. Эти две функции в совокупности называются HA SSO. По своей простоте и эффективности HA SSO является предпочтительным вариантом для обеспечения высокой доступности. Используя рентабельную модель лицензирования HA SSO, беспроводные развертывания Cisco могут
улучшить доступность беспроводной сети благодаря времени восстановления контроллера в диапазоне менее секунды при сбое контроллера WLAN. Кроме того, HA SSO позволяет экономически эффективно лицензировать отказоустойчивый контроллер WLAN как резервный отказоустойчивый контроллер с
ly Высокая доступность N+1
количеством лицензий для точек доступа, автоматически унаследованным от его спаренного основного контроллера WLAN. Это достигается путем покупки резервного отказоустойчивого контроллера с использованием HA SKU, доступного для контроллеров Cisco серии 5500 и 8500 WLAN.
Вы можете использовать архитектуру HA N+1, чтобы обеспечить избыточностьonдля контроллеров WLAN в пределах одного сайта или через географически отдельные сайты с более низкой общей стоимостью развертывания. Он часто разворачивается вместе с архитектурой FlexConnect, чтобы обеспечить высокую доступность через центры обработки данных для удаленных филиалов. Вы можете
Конфигурация и обновления программного обеспечения основного контроллера WLAN автоматически синхронизируются с отказоустойчивым резервным контроллером WLAN.
использовать один резервный контроллер WLAN, чтобы обеспечить резервное копирование для |
|
нескольких основных контроллеров WLAN. HA SSO функциональность не поддерживается для HA N+1. |
|
При сбое основного контроллера конечный автомат AP CAPWAP перезапускается. |
|
|
w |
С HA N+1 контроллеры WLAN независимы друг от друга и не делят конфигурацию или IP-адреса ни на |
|
одном из своих интерфейсов. Каждый WLC должен управляться eотдельно, может работать на другом |
|
i |
|
оборудовании и может быть развернут в разных центрах обработки данных по каналу WAN. |
|
v |
|
Рекомендуется (но не обязательно), чтобы вы выполнили ту же версию программного обеспечения через |
|
WLC, используемые для HA N+1, чтобы уменьшить время простоя, поскольку AP устанавливают сеансы |
|
CAPWAP к резервным контроллерам. Вы можетеrнастроитьeточки доступа с приоритетом с помощью HA N+1. AP с высоким приоритетом на основном контроллере всегда сначала подключаются к резервному контроллеру, даже если им приходится выталкивать AP с низким приоритетом. Когда основной WLC возобновляет работу, AP автоматически переключаются с резервного WLC на основной
WLC, если включена опция отката AP. |
p |
|
|
Вы можете настроить вторичный контроллер HA-SKU в качестве резервного контроллера для HA N+1. |
|
Уникальный идентификатор устройства HA SKU обеспечивает возможность максимального количества |
|
- |
|
точек доступа, поддерживаемых на этом оборудовании. Вы не можете настроить N+1 Secondary HA- |
|
SKU в сочетании с HA SSO, так как они являются взаимоисключающими. |
|
Агрегация каналовFTконтроллеров WLAN
DRAБольшинство беспроводных контроллеров Cisco имеют несколько физических 1 или 10 портов Gigabit Ethernet. В типичных развертываниях один или несколько идентификаторов WLANs/идентификаторов набора служб (SSIDs) сопоставляются с динамическим интерфейсом, который затем сопоставляется с физическим портом. В централизованном проекте беспроводной трафик проходит через сетевую инфраструктуру и заканчивается на физических портах. При использовании одного физического порта на WLAN пропускная способность каждой WLAN ограничивается пропускной способностью порта. Поэтому альтернативой является развертывание агрегации каналов (LAG) через порты системы распределения, объединяя их в один высокоскоростной интерфейс.
Когда LAG включен, беспроводной контроллер динамически управляет избыточностью портов и прозрачно балансирует точки доступа. LAG также упрощает настройку контроллера, поскольку больше нет необходимости настраивать первичный и вторичный порты для каждого интерфейса. Если какой- либо из портов контроллера выходит из строя, трафик автоматически переносится на один из других портов. Пока работает хотя бы один порт контроллера, беспроводной контроллер продолжает работать, точки доступа остаются подключенными к сети, а беспроводные клиенты продолжают отправлять и получать данные.
11
WLAN recommendations
LAG требует, чтобы группа портов EtherChannel была настроена на подключенном коммутаторе Catalyst. Группа портов EtherChannel может быть настроена на нескольких линейных картах на коммутаторе Catalyst или на комм утаторах в конфигурации VSS коммутатора Catalyst для дополнительной избыточности. При настройке между коммутаторами он называется EtherChannel с несколькими шасси.
На следующем рисунке показан пример агрегации каналов беспроводного контроллера в конфигурации высокой доступности для пары VSS коммутатора Catalyst. Аналогичное подключение используется при подключении к стеку коммутатора распределения.
|
|
ly |
|
w |
on |
|
|
|
e |
|
|
i |
|
|
Рис. 14. Примеры агрегации ссылок |
|
|
Распределение портов от активного и резервного WLC по обоим коммутаторам в паре VSS является |
||
рекомендуемой конструкцией. Этот дизайн минимизирует трафик, который пересекает канал |
|
|
v |
виртуального коммутатора между комм утаторами Catalyst в паре VSS во время нормальной работы (без |
|
e |
|
r |
|
сбоев), потому что и активный, и резервный WLC имеют порты, подключенные к обоим ко ммутаторам. Эта конструкция также предотвращает переключение с активного WLC на резервный W LC в случае
|
|
|
|
|
|
|
|
- |
|
|
|
|
|
|||
|
сбоя коммутатора в паре VSS. Однако в случае сбоя коммутатора в паре VSS количество портов, |
|||||||||||||||
|
подключенных к активному WLC, уменьшается вдвое. |
|||||||||||||||
|
Технический совет |
|
|
|
|
|
p |
|
|
|
||||||
|
Устанавливайте коммутаторы Catal yst на режим LAG, потому что беспроводной контроллер не |
|||||||||||||||
|
|
|
|
FT |
|
|
|
|
|
|
|
|||||
|
поддерживает LACP или PAgP. |
|
|
|
|
|
|
|
|
|
||||||
|
В следующей таблице приведены сведения о поддержке высокой доступности дл я различных |
|||||||||||||||
|
контроллеров. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Таб. 7 Поддержка функции высокой доступности |
|
|
|
||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
DRA |
|
|
H SSO |
|
|
N+1 HA |
|
|
Stac k redundancy |
|
|
LAG |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
Cisco WLC model |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
8540 |
|
|
Да |
|
Да |
|
|
|
— |
|
Да |
|
|||
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
5520 |
|
|
Да |
|
Да |
|
|
|
— |
|
Да |
|
|||
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
3504 |
|
|
Да |
|
Да |
|
|
|
— |
|
Да |
|
|||
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
12
WLAN recommendations
vWLC |
Нет |
Да |
— |
Через VMware |
|
|
|
|
|
МУЛЬТИКАСТНАЯ ПОДДЕРЖКА
Приложения для видео и голоса продолжают расти, поскольку смартфоны, планшеты и ПК добавляются в беспроводные сети во всех аспектах нашей повседневной жизни. В каждой из моделейly беспроводного дизайна поддержка многоадресной передачи, к которой пользователи привыкли в проводной сети, доступна по беспроводной связи. Многоадресная рассылка необходима для
приложения. on WLAN кампуса поддерживает многоадресную передачу для локального контроллера посредством использования многоадресного-многоадресного режима, который использует многоадресный IP-адрес для более эффективной передачи многоадресных потоков в точки доступа, у которых беспроводные пользователи подписываются на определенную группу многоадресной рассылки. В этом руководстве режим многоадресной-многоадресной передачи поддерживается с использованием контроллеров Cisco
обеспечения эффективной доставки определенных приложений «один ко многим», таких как видео и групповая связь «push-to-talk». Расширяя поддержку многоадресной рассылки за пределы кампуса и центра обработки данных, мобильные пользователи теперь могут использовать многоадресные
локальной коммутации, также могут извлечь выгоду из использованияieмногоадресных приложений. Многоадресная рассылка в удаленных узлах использует базовую поддержку WAN и LAN
3500, 5500 и 8500 Series WLAN. |
w |
|
|
Удаленные узлы, которые используют Cisco vWLC, использующий Cisco FlexConnect в режиме |
|
многоадресного трафика. При объединении с точками доступа в режиме FlexConnect с использованием |
|
локальной коммутации абоненты многоадресных потоковvобслуживаются напрямую через сеть WAN |
|
или LAN без дополнительных накладных расходов на контроллере WLAN. |
|
Guest Wireless |
e |
r |
|
Использование существующей проводной и беспроводной инфраструктуры студенческого |
|
|
p |
|
- |
городка для гостевого доступа обеспечивает удобный и экономичный способ предложить доступ в Интернет для посетителей и подрядчиков. Беспроводная гостевая сеть предоставляет следующие функциональные возможности:
● ПредоставляетFTдоступ в Интернет для гостей через открытый беспроводной SSID, с контролем доступа веб-аутентификации;
● Поддерживает создание временных учетных данных аутентификации для каждого гостя авторизованным внутренним пользователем;
DRA● Хранит трафик в гостевой сети отдельно от внутренней сети, чтобы предотвратить доступ гостя к ресурсам внутренней сети;
● Поддерживает централизованные модели и модели проектирования Cisco FlexConnect.
13
WLAN recommendations
|
|
|
|
|
|
|
|
|
|
ly |
|
|
|
|
|
|
|
|
w |
on |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
e |
|
|
||
|
|
|
|
|
i |
|
|
|
||
|
|
|
|
v |
|
|
|
|
||
|
|
|
e |
|
|
|
|
|
||
|
|
|
r |
|
|
|
|
|
|
|
|
|
Рис. 15. Об зорpбеспроводной архитектуры сети |
|
|
||||||
Если у вас есть одна пара контроллеро в для всей организации и эта пара контроллеров подключена к |
||||||||||
тому же распределительному коммутат-ору, что и пограничный межсетевой экран Интернета, вы можете |
||||||||||
использовать общее развертывание. |
|
|
|
|
|
|
|
|
||
|
FT |
|
|
|
|
|
|
|
|
|
В общем развертывании на распред елительном коммутаторе создается VLAN для логического |
||||||||||
подключения гостевого трафика от кон троллеров WLAN к демилитаризованной зоне (DM Z). Гостевая |
||||||||||
VLAN DMZ не будет иметь связанный интерфейс уровня 3 или виртуальный интерфейс |
коммутатора. |
|||||||||
Таким образом, каждый |
беспроводной |
клиент в гостевой сети будет использовать |
пограничный |
|||||||
межсетевой экран Интернета в качестве шлюза по умолчанию. |
|
|
|
|
|
|||||
Если вы не соответствуете требовани ям для совместного развертывания, вы можете |
использовать |
|||||||||
контроллеры |
беспроводной локальной сети Cisco 5500 |
или Cisco |
серии 3500 |
для р звертывания |
||||||
выделенного |
гостевого |
контроллер а. |
Контроллер |
|
напрямую |
|
подключен |
к |
пограничной |
|
DRAдемилитаризованной зоне Интернета, и гостевой трафик от любого другого контроллера в организации направляется на этот контроллер. Дру гие контроллеры также могут предоставлять услу ги привязки гостей, но это не рассматриваются в этом руководстве.
В моделях с общим и выделенным гостевым дизайном беспроводной сети пограничный межсетевой экран Интернета ограничивает доступ из гостевой сети. Гостевая сеть может подключаться только к Интернету и внутренним серверам DHC P и DNS.
ИТ-отделы большинства организаций предпочитают сначала пройти проверку подлинно сти гостевых пользователей беспроводной сети, прежде чем разрешить доступ к Интернету. Этот шаг иногда
сопровождается чтением гостевым пользователем и принятием политики приемлемого и спользования (AUP) или соглашения с конечным пользователем (EUA) перед выходом в Интернет. По скольку ИТ-
14
WLAN recommendations
отдел организации обычно не контролирует аппаратные или программные возможности гостевых беспроводных устройств, решение по аутентификации и авторизации часто основывается только на имени пользователя и пароле гостя. Другими словами, устройство, с которым гость получает доступ к сети, может не рассматриваться для какого-либо решения о политике. Типичный способ реализации гостевой аутентификации пользователя - через веб-браузер гостевого пользователя, известный как веб- аутентификация или WebAuth. При таком способе аутентификации гость беспроводной сети должен сначала открыть свой веб-браузер или мобильное приложение со встроенным браузером по URL-адресу,
страницу входа в систему, запрашивающую учетные данные для входа. После успешной аутентификации гостевой пользователь либо получает доступ к Интернету, либо перенаправляется на другой веб-сайт. Этот метод аутентификации также известен как портал авторизации.
расположенному где-то в Интернете. Сеанс браузера перенаправляется на веб-портал, который содержитly
Существует несколько способов аутентификации гостей в беспроводных локальных сетях, например:
● Локальная веб-аутентификация - с помощью этого метода гостевой беспроводной контроллер перенаправляет веб-сеанс гостевого устройства на веб-портал, содержащий экран входа в систему гостевого беспроводного контроллера. Затем учетные данные гостя сверяются с
состоит в том, что все управление гостевым беспроводным доступом ограниченоonгостевым беспроводным контроллером в пределах DMZ. Недостатком этой опции является то, что учетные данные гостя хранятся отдельно в гостевом беспроводномeконтроллере.
● Центральная веб-аутентификация - с помощью этогоiметода веб-сеанс гостевого устройства перенаправляется гостевым беспроводным контроллером на внешний веб-портал, содержащий
локальной базой данных в гостевом беспроводном контроллереw. Преимущество этой опции
экран входа в систему. Затем учетные данные гостя сверяются с внешней базой данных на сервере аутентификации, авторизации и учета (AAA). C sco Identity Services Engine (ISE) может
обеспечить как внешний веб-портал, так и функциональность сервера AAA. Размещая портал
входа в систему WebAuth на центральном сервере, сетевой администратор может предоставить |
|
одну унифицированную страницу входа - с дополнительнымv |
AUP или EUA - для всего |
p |
|
беспроводного гостевого доступа без необходимости создания отдельной страницы входа на |
|
каждом гостевом беспроводном контроллереe. Переместив базу данных гостевых учетных |
|
данных и гостевой портал спонсора наrсервер AAA, сетевой администратор может предоставить |
|
- |
|
одно центральное место для создания и управления гостевыми учетными данными вместо |
|
необходимости создавать гостевые учетные данные |
на каждом |
гостевом беспроводном |
контроллере. |
|
|
FT |
регистрация |
на основе CMX часто |
● Гостевая регистрация на основе CMX - гостевая |
реализуется организациями, которые хотят предоставить бесплатный доступ в Интернет на своих площадках в обмен на сбор некоторой информации от клиентов, посещающих сайт. С
помощью этого метода гостям разрешается использовать беспроводную сеть и выходить в Интернет с места, войдя в систему, используя свои существующие учетные данные социальных DRAсетей. Владелец места также может разрешить анонимный вход в беспроводную сеть. Владелец места также может по желанию выбрать заставку и регистрационную форму, настроенную для этого конкретного места. Вы можете выполнить гостевую регистрацию на основе CMX, развернув платформу Cisco CMX (также известную как инструмент сервисов мобильности). Вы можете развернуть платформу Cisco Enterprise Mobility Services вместе с CMX, чтобы выйти за рамки простого обеспечения возможности подключения - путем привлечения посетителя через
веб-браузер или мобильное приложение, развернутое на мобильном устройстве.
Cisco OfficeExtend
Для работника, работающего на дому, обязательно, чтобы доступ к бизнес-услугам был надежным и последовательным, предоставляя опыт, сопоставимый с пребыванием в кампусе. Но в широко используемой беспроводной полосе частот 2,4 ГГц в жилых и городских условиях имеется много потенциальных источников перегрузок, таких как беспроводные телефоны, смартфоны, планшеты и радионяни. Для поддержки пользователей, чьи технические навыки сильно различаются, решение для
15
WLAN recommendations
удаленных работников должно обеспечивать упрощенный и современный способ внедрения устройств, обеспечивающих безопасный доступ к корпоративной среде.
ИТ-операции сталкиваются с другим набором проблем, когда речь идет о внедрении решения для удаленной работы, включая надлежащую защиту, поддержку и управление средой удаленной работы из централизованного местоположения. Поскольку эксплуатационные расходы являются постоянным фактором, ИТ-отдел должен внедрить экономически эффективное решение, которое защищает инвестиции организации без ущерба для качества или функциональности.
Cisco OfficeExtend удовлетворяет требованиям простоты использования, качества опыта и эксплуатационных расходов. Решение Cisco OfficeExtend построено на двух основных компонентах:
● Контроллер беспроводной локальной сети Cisco серии 3500 или серии Cisco 5500 или серии
Cisco 8500; |
ly |
|
● Точка доступа OfficeExtend серии Cisco Aironet 1810W. |
||
Контроллеры Cisco WLAN |
||
|
||
Контроллеры WLAN Cisco работают совместно с точками доступа Cisc |
OfficeExtend для |
|
поддержки критически важных для бизнеса беспроводных приложений для удаленных работников. |
||
Контроллеры Cisco WLAN обеспечивают контроль, масштабируемость, безопасность и надежность, |
||
w |
on |
|
необходимые сетевым менеджерам для создания защищенной, масштабируемой |
среды удаленных |
|
работников.
Автономный контроллер может поддерживать до 500 сайтов C sco OfficeExtend. Для обеспечения отказоустойчивого решения Cisco рекомендует развертывать контроллеры попарно.
Следующие контроллеры являются предпочтительными вариантами для Cisco OfficeExtend: |
|
● Контроллер беспроводной локальной сети Cisco серии 3500;e |
|
|
i |
● Контроллер беспроводной локальной сети Cisco серии 5500. |
|
Поскольку гибкость лицензий на программное обеспечение позволяет добавлять дополнительные точки |
|
|
v |
доступа при изменении бизнес-требований, вы можете выбрать контроллер, который будет |
|
поддерживать ваши потребности в долгосрочной перспективе, позволяя оплачивать только то, что вам |
|
нужно и когда вам это нужно. |
e |
Чтобы пользователи могли подключать своиrконечные устройства к локальной беспроводной сети |
|
организации или к своим беспроводным-pсетям для удаленной работы на дому без перенастройки, Cisco OfficeExtend использует те же беспроводные идентификаторы SSID в домах удаленных работников, что и те, которые поддерживают передачу данных и голоса внутри организации.
Точки доступа CiscoFTOfficeExtend
Точка доступа OfficeExtend серии Cisco Aironet 1810W имеет малый вес, что означает, что она не может работать независимо от контроллера WLAN. Чтобы предложить удаленное подключение WLAN с использованием того же профиля, что и в корпоративном офисе, AP проверяет весь трафик на DRAсоответствие централизованным политикам безопасности. Используя контроллеры WLAN для централизации политик, Cisco OfficeExtend минимизирует издержки на управление, связанные с домашними брандмауэрами. Безопасное соединение транспортного уровня для передачи данных
защищает связь между точкой доступа и контроллером WLAN.
Cisco OfficeExtend обеспечивает производительность беспроводной связи 802.11ac и предотвращает перегрузку, вызванную жилыми устройствами, поскольку он работает одновременно в диапазонах 2,4 ГГц и 5 ГГц. Точка доступа также обеспечивает проводное соединение Ethernet в дополнение к беспроводной. Точка доступа Cisco OfficeExtend обеспечивает проводную и беспроводную сегментацию домашнего и корпоративного трафика, что позволяет подключать домашние устройства без риска для безопасности для корпоративной политики.
Дизайн-модель OfficExtend
Для наиболее гибкого и безопасного развертывания Cisco OfficeExtend разверните выделенную пару контроллеров для Cisco OfficeExtend с помощью контроллеров беспроводной локальной сети Cisco серии 5500 или 3500. В выделенной модели проектирования контроллер напрямую подключается к
16
WLAN recommendations
пограничной DMZ Интернета, и трафи к из Интернета прерывается в DMZ (в отличие о т внутренней сети), в то время как трафик клиента по-прежнему напрямую подключается к внутренней сети.
|
|
|
|
|
|
|
ly |
|
|
|
|
|
|
w |
on |
|
|
|
|
|
|
|
|
|
|
|
|
e |
|
||
|
|
|
i |
|
|
||
|
|
|
v |
|
|
|
|
|
|
e |
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
- |
|
|
|
|
|
|
|
Рис. 16. Дизайн-модель Cisco Office Extend |
|
|
|||
Multicast Domain Name Services и Bonjour Gateway |
|
|
|
|
|||
|
FT |
|
|
|
|
|
|
|
Bonjour - это протокол Apple с нулевой конфигурацией для рекламы, поиска и подключения к |
||||||
сетевым |
службам, таким |
как обмен файлами, печать и обмен |
мультимедиа. Протокол Bonjour |
||||
изначально был разработан для исполь зования в домашней сети и использует многоадре сные службы |
|||||||
доменных имен (mDNS) через локальную многоадресную рассылку для совместного и спользования |
|||||||
DRA |
подход хорошо работает в домашних |
сетях, ограничение м локальной |
|||||
сетевых |
служб. Хотя этот |
||||||
многоадресной рассылки является то, что эти сетевые службы будут совместно использоваться только в пределах одного домена уровня 2 (такого как VLAN или WLAN). В корпоративном сценар ии WLAN вы используете разные WLAN и VLAN для разных классов устройств, включая корпоративные устройства, устройства сотрудников, персональные устройства и гостевые устройства (а также карантины WLAN для неутвержденных устройств). Таки м образом, основные операции Bonjour, такие к к печать на проводном принтере из беспроводной локальной сети, могут не поддерживаться изначально.
Чтобы устранить это ограничение и удовлетворить пользовательский спрос на устройства Apple BYOD на предприятии, Cisco разработала функцию Bonjour Gateway для своих WLC. Эта функция решает ограничение домена уровня 2 для Bonj our, позволяя WLC отслеживать, кэшировать и прокси-ответы на запросы службы Bonjour, которые могут находиться в разных доменах уровня 2. Кроме того, эти ответы могут выборочно контролироваться адм инистративными политиками, поэтому в определенных доменах уровня 2 будут разрешены только опред еленные услуги Bonjour.
Протокол Bonjour использует запросы mDNS. Эти запросы отправляются через UDP-порт 5353 на эти зарезервированные групповые адреса:
●Адрес группы IPv4: 224.0.0.251;
17
WLAN recommendations
●Адрес группы IPv6: FF02::FB.
Важно подчеркнуть, что адреса mDNS, используемые Bonjour, являются многоадресными адресами локальной линии связи и пересылаются только в локальном домене уровня 2, поскольку м ногоадресная рассылка локальной ссылки по замыслу должна оставаться локальной. Более того, маршрутизаторы не могут даже использовать многоадресную маршрутизацию для перенаправления запросов mDNS, потому что время жизни этих пакетов установл ено в 1.
Bonjour изначально разрабатывался дляя типичных домашних сетей с одним доменом уровня 2, где это
локальное ограничение канала mD NS редко создавало какие-либо практические |
ly |
ограничения |
|
развертывания. Однако в развертывании корпоративного кампуса, где может существовать большое |
|
количество проводных и беспроводны х доменов уровня 2, это ограничение серьезно |
ограничивает |
|
|
|
|
|
|
|
on |
|
функциональность Bonjour, поскольку клиенты Bonjour видят только локально размещенные службы и |
||||||||
не видят или не подключаются к службам, размещенным в других подсетях. Это ограничение локальной |
||||||||
многоадресной передачи Bonjour mDNS показано на следующем рисунке. |
|
|
|
|||||
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
e |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
v |
|
|
|
||
|
|
e |
|
|
|
|
||
|
|
r |
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
Рис. 17. Ограничения развертывания Bonjour в корпоративных сетях |
|
|
|||||
Функция шлюза Bonjour (функция шл юза mDNS, чаще всего включаемая для Bonjour) о тслеживает и |
||||||||
кэширует все объявления службы Bonjo ur в нескольких VLAN и может быть настроена для выборочного |
||||||||
ответа на запросы Bonjour. |
- |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
Варианты развертывания политики обслуживания Bonjour Gateway |
|
|
||||||
|
Ключевое функциональное преимущество шлюза Bonjour заключается в том, что о н может быть |
|||||||
|
FT |
|
|
Bonjour, что позволяет |
о существлять |
|||
настроен на выборочный ответ на запросы службы |
|
|||||||
административный контроль услуг Bonjour на предприятии. Правила Bonjour могут пр именяться на |
||||||||
следующей основе: |
|
|
|
|
|
|
|
|
● |
По WLAN; |
|
|
|
|
|
|
|
DRA |
|
|
|
|
|
|
|
|
● |
По VLAN; |
|
|
|
|
|
|
|
● По интерфейсу / Интерфейс-группе. |
|
|
|
|
|
|
||
Cisco |
pplication Visibility & Control |
|
|
|
|
|
|
|
|
Решение Cisco Application Visibility and Control (AVC), которое уже поддерживается на |
|||||||
платформах маршрутизации Cisco, таких как Cisco ASR 1000 и Cisco ISR, доступно на платф ормах WLC, |
||||||||
включая WLC Cisco 3500, 5500 и 8500 в режиме центральной коммутации. |
|
|
|
|||||
Набор |
функций Cisco AVC повы шает эффективность, |
|
производительность и |
у правляемость |
||||
беспроводной сети. Кроме того, подд ержка AVC, встроенного в инфраструктуру WLAN , расширяет комплексные решения QoS на базе прил ожений Cisco.
AVC включает в себя следующие компо ненты, изображенные на схеме.
18
WLAN recommendations
|
|
|
|
|
|
|
|
|
|
ly |
|
|
|
|
|
|
|
w |
on |
||
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
e |
|
|
|
||
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
Рис. 18. Компоненты Cisco AVC |
|
|
|
|
|||
● |
Технология глубокого контро ля пакетов (DPI) следующего поколения, называемая сетевым |
|||||||||
|
распознаванием приложений следующего |
vпоколения (NBAR2), которая позволяет |
||||||||
|
идентифицировать и классифиц ировать приложения. NBAR2, доступный на платфо рмах на базе |
|||||||||
|
Cisco IOS, |
представляет |
соб ой технологиюeглубокого |
контроля |
пакетов, |
в ключающую |
||||
|
поддержку классификации L4L7 с отслеживаниемr |
состояния. |
|
|
|
|
||||
● |
Возможность |
отмечать |
приложения, использующие |
DiffServ, |
которые |
за тем можно |
||||
|
|
|
p |
|
|
|
|
|
|
|
|
|
- |
|
|
|
|
|
|
|
|
использовать для определени я приоритетов или отмены приоритетов приложений для обработки QoS как в проводны х, так и в беспроводных сетях.
●Шаблон для Cisco NetFlow v9 для выбора и экспорта данных, представляющих интерес для
Cisco PI илиFTстороннего сбор щика NetFlow, для сбора, анализа и сохранения отчетов для устранения неполадок, планирования емкости и соответствия требованиям.
Эти компоненты AVC показаны на следующем рисунке.
Cisco AVC на WLC наследует NBA R2 от Cisco IOS, который обеспечивает технологию DPI для DRAклассификации классификации прилож ений L4-L7 с сохранением состояния. Это критич ески важная технология для управления приложениями, потому что больше нет необходимости настраивать список доступа на основе номеров портов TCP или UDP для точной идентификации приложения. Фактически, по мере созревания приложений, осо бенно за последнее десятилетие, постоянно растущее число приложений становится непрозрачным для такой идентификации. Например, протокол HTT P (TCP-порт 80) может нести в себе тысячи пот енциальных приложений, и в современных сетях он, скорее, функционирует скорее как транспорт ный протокол, нежели как протокол уровня приложений OSI, которым он изначально был предназначен. Поэтому для точной идентификации приложений критически
важны технологии DPI, такие как NBAR 2.
После того, как механизм NBAR распознает приложения по их отдельным сигнатурам протокола, он регистрирует эту информацию в общей таблице потоков, чтобы другие функции WLC могли использовать этот результат классификации. Функции включают в себя функции QoS , NetFlow и брандмауэра, которые могут действовать на основе этой подробной классификации.
Cisco AVC обеспечивает:
19
WLAN recommendations
●Видимость приложения на WLC Cisco, включив видимость приложения для любого настроенного WLAN. Как только вы включаете видимость приложений, подсистема NBAR классифицирует приложения в этой конкретной WLAN. Вы можете просмотреть видимость риложения на WLC на общем уровне сети, для WLAN или для клиента.
●Контроль приложений на Cisco WLC путем создания профиля (или политики) AVC и подключения его к WLAN. Профиль AVC поддерживает правила QoS для каждого приложения
и предоставляет следующие действия, которые необходимо выполнить для каждого классифицированного приложения: Пометить (с помощью DSCP), Разрешить (и передачаlyбезКлючевые
● Планирование емкости и определение ее тенденций - создание основы сети дляonболее четкого понимания того, какие приложения используют полосу пропускания, и использование приложений с тенденциями, чтобы помочь сетевым администраторам с плановым обновлением
способности) приложений с целью определения приоритетов, исключения приоритетов или
отбрасывания трафика конкретных приложений.
|
|
инфраструктуры. |
|
|
|
|
|
w |
||
|
|
Wireless Intrusion Prevention System |
|
|
|
|
||||
|
|
Решение Cisco wIPS предлагает гибкое и масштабируемое решение для обеспечения безопасности |
||||||||
|
|
беспроводных сетей на основе 24x7x365 для удовлетворенияieпотребностей каждого клиента. |
||||||||
|
|
Безопасность является огромным фактором в современных развертываниях WLAN и в системе Cisco |
||||||||
|
|
wIPS. |
|
|
|
|
|
v |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
предназначен для решения всех проблем безопасности уровня 1, 2 и 3 при развертывании WLAN. |
||||||||
|
|
Используя решение Cisco для WLC, PI и MSE с контекстно-зависимыми службами определения |
||||||||
|
|
|
|
|
|
|
e |
|
|
|
|
|
местоположения, wIPS может обнаруживать, смягчать и сдерживать атаки в средах кампуса. Показаны |
||||||||
|
|
|
|
|
r |
|
|
|
||
|
|
различные типы атак, которые может поддерживать wIPS. |
|
|
||||||
|
|
Таб.8 wIPS attacks and Cisco solution |
p |
|
|
|
||||
|
|
|
|
|
|
|
||||
|
|
|
- |
|
|
|
|
|
|
|
|
|
Атаки и угрозы wIPS |
|
|
|
|
Решение Cisco |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
On-wire attacks |
|
|
|
|
WLC, PI и MSE с Context-Aware обнаруживают, |
|
||
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
определяют местоположение, смягчают и удерживают |
|
||
|
|
Rogue wireless Ps d-hoc wireless bridge |
|
|
|
эти атаки. |
|
|
||
|
|
|
FT |
|
|
|
|
|
|
|
|
|
Over-the-Air Attacks Evil twin/honey pot AP Denial of |
|
WLC, PI и MSE с wIPS обнаруживают и отправляют |
|
|||||
|
|
service econnaissance Cracking tools |
|
|
|
оповещения об этих атаках. |
|
|||
|
|
|
|
|
|
|
|
|
||
|
|
Non-802.11 Threats |
|
|
|
|
CleanAir AP, WLC, PI и MSE с Context-Aware |
|
||
|
DRA |
|
|
|
обнаруживает местоположение и отправляет оповещение |
|
||||
|
|
Tampered rogues Bluetooth |
|
|
|
об этих атаках. |
|
|
||
|
|
microwave RF jammers |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|