BYOD, mobilita a bezdrátové sítě HP

BYOD, mobilita a bezdrátové sítě HP Jan Šoun, Avnet

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

Agenda • Novinky v oblasti switching portfolia

• Bezdrátové portfolio a novinky • Unifikovaný bezdrátový a drátový management • BYOD řešení a řešení přístupu hostů • Přestávka • Praktická ukázka BYOD řešení 2


Novinky v oblasti switching portfolia


HP 1920 Switch Series Náhrada původní řady HP 1910 • Nové technologie s nižší spotřebou • Kompaktnější design • Extra SFP porty • L3 statický routing, ACLs

• HP doživotní záruka + 3 roky 24x7 telefonická podpora

4


HP 2530 Switch Series Nové modely s 10GbE porty • 8, 24, 48 port 10/100 a gigabitové switche • PoE+ / non PoE+ modely • Nově modely s 2x 10Gb SFP+ uplniky • HP doživotní záruka + 3 roky 24x7 telefonická podpora

5


HP 5130 EI Switch Series Nová generace gigabitového kraje • Lite L3 (statický a RIP routing) • IRF až 9 zařízení • 4x integrované 10Gbe SFP+ porty (vše v předu) • Comware 7 • Popora OpenFlow 1.3 pro SDN • Nižší spotřeba, hlučnost, kompaktnější šasi

• 24G-SFP verze s redundantními interními zdroji • Cenová politika = 5120EI + 2xSFP+ • HP doživotní záruka + 3 roky 24x7 telefonická podpora 6


HP 5400R zl2 Switch Series • Pokročilé L2-L4 funkce • OSPF, BGP, policy based routing • Redundantní management moduly a napájení HP 5406R zl2 Switch

• 6-slot a 12-slot šasi • Až 288 full PoE+ portů • Virtualizace s HP Advanced Services v2 zl moduly • Popora OpenFlow 1.3 pro SDN • HP doživotní záruka + 3 roky 24x7 telefonická podpora

HP 5412R zl2 Switch 7


HP FlexFabric 5700 Switch Series L2 ToR prvek do datového centra • L2 switch s Lite L3 funkcemi (statický a RIP routing) • Comware 7 • IRF • Redundantní zdroje, volitelný směr chlazení • 40GbE uplinky • Popora OpenFlow 1.3 pro SDN

8

•

JG894A: 48*1G + 2* 0G + 2*40G

•

JG896A: 40*10G + 2*40G,

•

JG898A: 32*10GT + 8*10G + 2*40G

• Možnost vertikální virtualizace jako linková karta nadřazeného IRF systému (HP 5900, 11900, 12900) včetně zachování lokálního switchingu


Bezdrátové portfolio a novinky


Controller Portfolio Positioning HP Unified Mobility module for the 10500 and 7500 chassis •

Large Enterprise

•

128 up to 1024 APs per unit with support for redundancy 20G throughput and 20K users

HP 870 • •

256 up to 1536 APs per unit with redundancy for links, power, and APs 40G throughput and 30K users

HP 10500/7500 20G Unified Wired-WLAN Module HP 870 Unified Wired-WLAN Appliance

HP 850 • •

64 up to 512 APs per unit with redundancy for links, power, and APs 10K users

HP 830 Enterprise Branch Office Solution •

•

Mid-size Enterprise

•

10

HP 830 Enterprise Branch Office Solution

Integrated switch/WLAN controller with redundancy Two models address range of branch office requirements up to 24/60 APs

MSM775 zl for 5400/8200 zl and MSM760 appliance • • •

40 up to 200 APs per unit with N+1 redundancy MSM760 Packaged in Access Control & Premium versions MSM775 Premium version only

MSM760

MSM720 • • • •

MSM720 10 up to 40 APs Up to 40 in a Team Packaged in Access Control and Premium Mobility versions Premium version adds L3 Mobility Services, Teaming, and 1+1 redundancy

Price/Performance


MSM775 zl

Positioning guidelines – new customers

APs

Hospitality

Mid-Size Enterprise

Large Enterprise

1000+ 800

Unified Unified

600

Unified

400 200 0

MSM MSM

Assumes 10-30 clients per radio and 20 -60 clients per dual radio AP; 10 clients/radio for rich media bandwidth intensive application (Voice)/ 30 clients/radio for data only 11


Rozšiřujeme nabídku lokálních plnohodnotných kontrolerů Unifikované kontroléry – přistupujte ke své WIFI stejně jako k drátové síti

HP 870 Unified wired-WLAN Appliance

Až 30k zařízení

HP 850 Unified wired-WLAN Appliance

• Stejný OS a bezpečnostní funkce jako na přepínači • Extrémní škálovatelnost až na 30k koncových zařízení a až 1536 AP • Správa spektra a navigace klientů na té nejvyšší úrovni • Lifetime warranty 2.0 i na enterprise kontroléry

Až 10k zařízení

12


Zajímavé funkce HP Unified Wired&Wireless • Distribuovaná webová autentizace pro hosty – Ideální pro scénáře dislokovaného bezdrátového kontroléru a pobočkové WIFI – Nezatěžuje WAN linky „nedůležitým“ provozem hostů • Wireles IPS v rámci stejného WIFI kontroléru – V ceně kontroléru bez nutnosti dokupu licencí – Detekce a potírání různých útoků na bezdrátovou infrastrukturu – AP lze dedikovat jako WIPS senzory nebo je nechat fungovat v hybridním módu • 802.1X Hot Backup – Funkce uplatňující se při využití redundantních kontrolerů – Kontroléry synchronizují stav klientské 802.1X autentizace. Klienti nejsou při failover stavu odpojeni.

13


HP 425 Access Point Entry level AP for those cost sensitive customers • Dual radio / dual band access point – complements the MSM430 • Plenum Rated • 2x2:2 MIMO (300Mb/s per radio) • PoE or local power (PS sold separately) • Four Embedded antennas – optional ext. antennas • Works with Unified and MSM Controllers (MSM720/MSM76x) • Supports controlled mode only • Eco-friendly 8 pack

14


HP 560 Wireless 802.11ac Access Point Overview HP 560 is part of a series of next generation access points that introduces 802.11ac support HP 560 shares the same access point capabilities as the MSM460 access point It leverages the MSM460 hardware platform and replaces Radio 1 (802.11n radio) with a 802.11ac radio • The 802.11ac radio on the HP 560 is hardware constrained to operate in the 5 GHz band only.

15


HP 417 Unified Walljack features and benefits Feature

Benefit

Single radio 802.11b/g/n radio

Entry level 802.11n Walljack

2x2:2 MIMO

Ideal for cost-sensitive Hospitality market

GigE Uplink, three - 10/100 bottom facing Ethernet ports and one pass-through port

Higher uplink speed versus MSM317, improved cable connection design that won’t “crimp” cables should furniture come in contact with the walljack

Single radio Single band Wireless Walljack supporting PoE 802.11b/g/n 2x2:2 for entry level hotel rooms and college dormitory rooms Embedded high gain antenna

16

With PoE in, able to provide PoE Class 2 out With PoE+ in, able to provide full class 3 out Easily hidden in room

Utility box wall mount, wall and desktop mount

Flexible mounting options

HP 800 Series / 10500/7500 Unified module and controllers

Will work with all Unified controllers

20 Pack

Eco Friendly – saves 44% packaging and storage, easier to unpack


HP 517 WallJack 802.11ac Switch Support the mobile device explosion with wired-like user experience Ideal for • Dense client environments or video applications • Ideal for transmitting high volumes of data • Customers looking for the highest performance

Benefits • Delivers increased bandwidth for video applications • Enhanced performance in dense client environments • Faster file upload and download speeds • Enhances the performance of 802.11n clients

17

802.11AC - 3X THE SPEED OF 802.11N !


HP Cloud Managed AP


HP WIFI z cloudu snadno a škálovatelně HP Cloud-Managed Networking Cloud Network Manager

• Nízké vstupní náklady, plaťte jen co právě užíváte • Jednoduché nasazení bez nutnosti IT na místě

• AP se „samo“ najde s kontrolérem jakmile ho připojíte k internetu • Bohatá sada funkcionalit a voleb

• Podpora WIFI IDS HP 365 3X3:3 802.11ac/n

HP 355

HP 350

3X3:3 802.11n

2X2:2 802.11n

•

HP Clear Connect – automatické ladění sítě a rozkládání zátěže

• Výhodné TCO s Lifetime Warranty 2.0

• Do budoucna nejen WIFI 1,2

19

Based on HP internal calculations


WIFI pro menší a střední firmy


HP M210 and HP M220 802.11n Access Points Feature Differences Feature

M210 AP

M220 AP

IEEE 802.11n, 802.11a/b/g/n single radio; dual band

X

X

Internal antenna design

X

X

2x3:2 MIMO design; up to 300Mbps throughput

X

X

SSIDs supported

4

8

VLANs supported

4

8

User based authentication

X

X

MAC based authentication

X

X

RADIUS based VLAN assignment

X

X

Rogue AP detection

X

X

WDS support (wireless point to point network bridging)

X

X

Maximum clustered APs

4

16

Maximum wireless clients supported

32

64

SNMP support

No

Yes

PoE powered (AC to DC adapter included)

X

X

Price

$

$$

HP lifetime warranty 2.0

X

X

21

HP M210 Access Point Ideal for small wireless LAN coverage of up to 4 APs


HP M220 Access Point NEW! Software update increases maximum clustered APs from 10 to 16 and adds SNMP read/write support Better suited for wireless LAN coverage requiring 5 – 16 APs

Jak funguje clustering? Primary Use Case

Clustering • A cluster must exist on the same subnet • Multiple clusters can exist on the same network • Examples of configuration parameters: – SSID (wireless network name) – VLAN configuration – Wireless encryption – security, passphrase – Radio configuration – RADIUS server configuration

1 cluster with many Aps (up to 16 APs)

Secondary Use Case

Cluster A

Cluster B

Multiple clustered AP groups in either the same network or separate networks/locations 22


Unifikovaný bezdrátový a drátový management


IMC – Unified Network Management Introducing a plug-and-play BYOD and WLAN Management Solution Single pane-of-glass management virtual appliance Intelligent Management Center IMC User Access Manager • Integrated database and OS • Optional WLAN manager • Fully integrated user access policy Speeds installation, easier to use • Unified wired and wireless topology views • Unified device to include WLAN module and WLAN switch • Unified user-interface and policy deployment (QoS, ACL’s NAC, etc…) 24

Simplicity from order to deploy – One part number, one file, one license


Wireless Service Manager overview Provides information on the overall health and status of the wireless network

25


Device resource page • • • • • •

26

Device Information Performance Information Fault (alarm) Configuration Specifics Device Action menus Asset Management


WSM - clients • MAC Address • Username • IP Address • SSID

27

• • • • •

Channel RX Rate (Mbps) Total Traffic Online Duration AP


WSM access points radios • • • • • • • • •

28

Access Point Radio ID Radio Type Vendor Current Transmission Power (dBm) Channel Number of Neighbors Admin Status Operation Status


WSM RF management

29


Spectrum Analysis

30


Power Saving - Scheduling WSM

AC Turn off POE port for AP from 0 am to 6 am

AP radio switch on/off timer AP SSID enable / disable timer PoE port disable

Turn off AP radio from 23 pm to 9 am tomorrow.

POE POE

Student dormitory 31


Turn off student SSID but teacher SSID maintains from 22 pm

Office building

Non-Real Time Location Solution： Sampling technique - RF fingerprinting AP must be in monitor or hybrid mode. AP captures the wireless package from client, AP utilizes client's signal strength for location Locate client, rogue client and rogue AP Single instant in time client location – no client tracking WSM queries AC for AP scan results Location accuracy - 10 ~ 20M IMC / WSM

Client

Bob 32

APs send client signal info to the AC


Real Time Location Solution： Sampling technique - RF fingerprinting iNode scans the AP signal as the location data, and then reports location to WSM Locate multiple wireless clients running iNode Real time tracking of the wireless clients running iNode Positioning accuracy of 5 ~ 15M iNode sends AP signal info to WSM IMC / WSM

iNode

Bob 33


Od BYOD k MDM


Kompletní BYOD řešení od HP HP Intelligent Management Center BYOD řešení

Onboarding

Monitoring

Provisioning

• Identifikace uživatele a zařízení

• Vynucení bezpečnostních politik

• Statistiky využítí sítě jednotlivými zařízeními

• Kontrola splnění podmínek přístupu

• Nezávisle na lokalitě

• Karanténa zařízení u kterých je zjištěna anomálie

Sjednocený management drátových a bezdrátových sítí Spolupráce s MDM a IPS platformami 35


Co je HP BYOD? •

Kompletní centralizace BYOD řešení v iMC

•

Použití modulů UAM, WSM, EAD a UBA

•

Použití DHCP plugin

•

Výhoda v managementu napříč celou sítí

•

Zvolena střední cesta mezi jednoduchostí a

MAC OUI DHCP Options

Use MAC Prefix to Determine Vendor Analyse DHCP Request Options

HTTP User Agent

View HTTP User-Agent Details

bezpečností •

36

Teoreticky nezávislé na výrobci infrastruktury


Postup připojení k síti Onboarding Onboarding

Provisioning Provisioning • Široké možnosti politik • Konzistentní napříč lokalitami

• Redukovaná náročnost připojení • Potlačení administrativy IMC UAM

1 Autentizace zařízení

MAC

37

IMC UAM

2 Autentizace uživatele

Portálová registrace, 802.1X

IMC

3 Fingerprinting zařízení

Výrobce + OS + Zařízení

IMC UAM

IMC EAD

4 Podmínky

5 Hloubková

přístupu

kontrola koncového zařízení

Výrobce + OS + Zařízení iNode klient + Lokalita + SSID + Čas …


IMC UAM

6

Vynucení VLAN či ACL

VLAN, ACL

Jednoduché „MDM“ přímo v iMC • • • • •

38

Možnost vytvoření konfiguračních nastavení WIFI sítě pro jednotlivé typy zařízení SCEP – jednoduchý enrollment certifikátů WI-FI template pro nastavení SSID a ověření uživatelů Bezpečnostní politiky iOS zařízení, např. PIN lock Nastavení Android zařízení


Uživatelská zkušenost na Apple iOS

39


Doplňte BYOD MDM řešením pro maximální bezpečnost Integrace s předními světovými MDM výrobci Základní BYOD

On-boarding Provisioning

Monitoring

Snadná MDM integrace Kompletní MDM řešení včetně možnosti virtualizace aplikací

40

Výrobce specializovaný na čistě MDM řešení

• Možnost výběru mezi předmíni světovými MDM dodavateli • Vynucení politik na základě stavu zařízení a kontroly v rámci MDM řešení • Ochrana kritických firemních dat • Detailní management koncových zařízení


MDM je jako iMC EAD pro mobilní zařízení • Vzdálená instalace žádoucích aplikací • Vzdálená možnost vymazání dat na zařízení (online či offline) • Vynucení enkrypce datového úložiště

• Nastavení WIFI či VPN profilů • Lokalizace mobilních zařízení • Detekce rootingu nebo jailbreaku zařízení • Bezpečná izolace aplikací, jejich konektivit a datových úložišť

41


Průběh připojení uživatele k MDM Pokud MDM politika není splněna, uživatel je zařazen do guest VLAN

Zaměstnanec se připoji k SSID pro zaměstnatnce

42

Guest Je přiřazen do Následně je connects onboarding VLAN to přesměrován na SSID registrační BYOD web

Zaměstanec se autentizuje jménem a heslem

Verifikace informací o koncovém zařízení (Fingerprinting)


Kontrola MDM politik

Pokud je MDM politika splněna, uživatel je zařazen do pracovní VLAN

Rozšířené možnosti přístupu hostů do sítě A. Distribuce kupónů s uživatelským jménem a heslem B. Zaměstnanci mají vlastní přístup ke generování přístupu I.

Generují přístup manuálně a sdělí jej hostovi

II.

Generují přístup automaticky a heslo se pošle pomocí SMS

III.

Generují přístup automaticky a místo hesla nechají hosta naskenovat QR kód

IV.

Host se sám zaregistruje na registračním portále a zaměstnanec schválí jeho registraci k

příslušné službě V.

43

Host se zaregistruje a je připojen do sítě bez nutnosti schválení


Guest Flow

Guest connects to the SSID for Guests

44

Endpoint device is put on Onboarding VLAN

Guest Guest is redirected to the connects BYOD portal page to SSID

Guest user is self-registered /authenticated


Define information is verified (Fingerprinting)

Endpoint device is put on Work VLAN

Shrnutí


Vítězem Eurovize 2014 se stává.....HP WIFI HP WIFI jako televizní hvězda Zadání • 15 000 uživatelů v jedné hale • Všichni chtějí hlasovat pro svého miláčka • Reportéři chtějí posílat nejaktuálnější komentáře

Výsledek • Zaznamenáno až 6000 klientů v jedné chvíli • Bez jediné stížnosti na konektivitu • Maximální rychlost 140Mbps

Implementováno • 2x centrální WIFI kontrolér • 232 AP se směrovými anténami • Kompletní switching s podporou SDN 46


Dotazy?


Praktické řešení BYOD Prvotní připojení klientů pouze do tzv. onboarding VLAN (VLAN 67) s přístupem pouze na BYOD portál pro ověření • Po ověření (uživatelské jméno a heslo) + fingerprinting zařízení bude klient přesměrován do patřičné VLAN dle OS • Klienti s OS Windows – VLAN 65 • Klienti s OS Android – VLAN 66

IMC + WSM + UAM

DHCP server + DHCP plugin

•

830 Unified Wired-WLAN Switch

425 AP

MSM460 AP SSID: HP Byod

Client – OS Windows 48


Client – OS Android

BYOD, mobilita a bezdrátové sítě HP

Recommend Documents