TECHNOLOGIE AEROHIVE
Kooperativní kontrola / distribuovaná inteligence
Škalovatelnost, redundance, výkon
Internet
Areálová síť
Bezdrátový přístup
• dynamický routing
• dynamický routing • switching • Spanning Tree
• kooperativní kontrola • distribuovaná inteligence
Přesun technologie
Přesun technologie směrem k plně distribuované inteligenci – funkcionalita se přemísťuje z kontroléru do AP snadnější a flexibilnější implementace větší škálovatelnost a propustnost zvýšená bezpečnost zvýšená spolehlivost snížení nákladů snížení komplexnosti managementu
Logické síťové vrstvy Logické síťové vrstvy Routery
Switche
Aerohive AP
Management Nastavení, aktualizace SW, monitoring
Centrálně Pomocí NMS platformy
Centrálně Pomocí NMS platformy
Centrálně Pomocí NMS platformy (HiveManager)
Řízení Intelligence – rozhodování o fungování sítě – např. směrování
Distribuované Pomocí routovacích protokolů (OSPF, RIP, BGP, ...)
Distribuované Pomocí Spanning Tree a učení MAC
Distribuované Pomocí protokolů Aerohive Cooperative Control (AMRP, ACSP, DNXP, INXP)
Přenos dat Samotný přenos uživatelských dat
Distribuovaně Data přenášena každým routerem
Distribuovaně Distribuovaně Data přenášena Data přenášena 4 každým switchem každým Aerohive AP
4
Logické síťové vrstvy Logické síťové vrstvy
Aerohive AP
Kontrolér + AP
Management Nastavení, aktualizace SW, monitoring
Centrálně Pomocí NMS platformy (HiveManager)
Centralizovaný Pomocí kontroléru nebo NMS platformy
Řízení Intelligence – rozhodování o fungování sítě – např. směrování
Distribuované Pomocí protokolů Aerohive Cooperative Control (AMRP, ACSP, DNXP, INXP)
Centralizovaně WLAN kontrolér dělá většinu důležitých rozhodnutí
Přenos dat Samotný přenos uživatelských dat
Distribuovaně Data přenášena každým Aerohive AP
Centralizovaně Ve většině případů směruje data kontrolér, některé systémy umožňují distribuovaný přenos dat 5
Managment komunikace HiveManager
• Aerohive zařízení vzájemně mezi sebou (Cooperative Control Protocols) › AMRP, DNXP, INXP and ACSP › Šifrováno pomocí Hive klíče • Aerohive zařízení a HiveManager › CAPWAP - UDP port 12222 (výchozí) nebo TCP porty 80, 443 (HTTP/HTTPS encapsulation) › SCP - Port 22
Aerohive zařízení 6
Síťové politiky
• Síťové politiky pro různé typy nasazení › Flexibilní pro snadné rozšiřování napříč lokalitami › Jediné SSID a uživatelské profily napříč sítí 7
Síťové politiky
Wi-Fi
Jedno nastavení může být použito pro jedno zařízení, stejně jako pro tisíce
Switching
Routing VPN Firewall Bonjour
8
Aerohive Channel Selection Protocol (ACSP) • všechna AP kontinuálně monitorují kvalitu kanálů › použití stejných kanálů › ztracené rámce(opakování a CRC)
• každé AP vypočítává kanálové skóre › interference (802.11 i non-802.11) snižují kanálové skóre
• AP optimalizují výběr kanálu pro co nejlepší společný výsledek › periodický monitoring zaručuje , že AP se co nejlépě vyhýbají interferencím
• AP si dohodnou úroveň vysílaného signálu, aby se minimalizovala interference
9
Funkce kooperativní kontroly • automatické vyhledání HiveAP a jejich organizace • rychlý roaming
Aerohive Networks řešení WLAN s kooperativní kontrolou
› prediktivní roaming bere v úvahu topologii › uchovává stav relace s klientem a adekvátní politiku
• Dynamic Network Extension (DNX) › rychlý L3 roaming › tunneling pro hosty › tunel pro vzdálený přístup k síti
• kooperativní RF kontrola › výběr kanálu, management výkonu a load balancing stanic
• mesh routing a prevence smyčky singalizace kooperativní kontroly 10
Layer 2 roaming • asociace a autentifikace uživatele
RADIUS Server
• distribuce klíče • AP prediktivně dodává klíče a status relace všem sousedním AP
• uživatel přechází a dochází k asociaci na jiné AP • provoz hladce pokračuje bez přerušení Roam
Layer 3 roaming s použitm DNX
Router Subnet B
Subnet A GRE tunel
jako u L2 roamingu AP proaktivně předává klíče AP, která jsou jeden skok vzdálená
aby se udržela konektivita s původním subnetem, je vytvořen tunel
tunel sleduje pohyb uživatele dokud relace neskončí, pak je terminován pro příští relaci již uživatel přistupuje k lokální síti
Vysoká odolnost vůči výpadkům • kooperativní kontrola umožňuje nastavit nepřekonatelnou úroveň redundance
agregační switch přístupový switch
• pokud dojde k selhání AP, klient okamžitě roamuje k jinému AP
optimální cesta
HiveAP
• i v případě výpadku drátové části sítě AP dynamicky přesměrují provoz
optimální cesta
13
optimální cesta
Client Health Score
• rychlá informace o kvalitě připojení klientů • informace pro snadnou nápravu • vynikající pro menší sítě › pro větší vstup do celkové SLA
14
Client Health Score
Zjištění kvality připojení na první pohled … možné stavy připojení. Good connection Dobré připojení
Vysoká přenosová High data rates &rychlost, high kvalitní připojení bez transmission nutnosti opravných successful rates akcí
Marginal connection
Dostatečné připojení
Lower data rates / lowernedostatky umí Nižší přenosová rychlost, successful rates bezdrátová síťtransmission kompenzovat
Poor connection
Nevyhovující Low data rates / lowpřipojení successful Nízká přenosovárates rychlost, neplní transmission nastavené SLA
Složky kvality připojení
Rádiové parametry Celkový stav připojení
Nastavení IP Aplikační propustnost
Celkový stav připojení - hodnota odpovídá úrovni nejslabší složky kvality připojení - vyhodnocováno pro každé klientské zařízení 50-100 bodů – Dobré připojení 25-49 bodů – Dostatečné připojení 0-24 bodů – Nevyhovující připojení
Složky kvality připojení každého klienta sítě
Rádiové parametry - stanoveno na základě rádiových parametrů přenosu - plynulý rozsah od 0 do 100 bodů Nastavení IP - kontrola zda všechna klientská zařízení mají IP (staticky nebo z DHCP serveru) - 100 bodů pokud má IP, výchozí bránu, DNS servery - 0 bodů pokud zařízení nemá IP Aplikační propustnost - skutečná propustnost s ohledem na hodnoty SLA (100 kbps až 500 000 kbps pro každé klientské zařízení) - 100 bodů při splnění - 49 bodů při splnění s pomocí korekcí kvality připojení - 24 bodů při nesplnění
SLA – automatizované akce • přesunutí klienta › do jiného pásma (band steer) › na jiné AP (load balance) › akci spustí nízké client health score
• Airtime Boost › čas pro přenos se zvýší u klientů, kteří jsou pod svou cílovou propustností › založeno na Client Health Score › spustí se pouze pro klienty, kteří si mohou výsledky zlepšit
Pohled v L7 Časové filtry
Nejvíce používané aplikace
Nejaktivnější uživatelé
Zařízení dle operačního systému
Aplikace dle počtu uživatelů, kteří je používají 19
Princip dynamického rozdělení média • Wi-Fi klienti automaticky vybírají přenosovou rychlost v závislosti na kvalitě spojení a prostředí • všichni klienti sdílí stejné médium a pouze jeden klient může vysílat nebo přijímat v jeden moment – tomu se říká airtime › pomalejší klienti potřebují víc airtime, aby odeslali stejná data › nejhorší klient dominuje • v sítích s vysokým provozem redukují pomalí klienti propustnost na úroveň nejpomalejšího klienta Fast .11n rates
.11ag & .11b & slow slow .11n .11agn rates rates
Dynamické rozdělení airtime Stejná alokace Airtime
klient A
klient B
klient C
(135Mbps)
(48 Mbps)
(5.5 Mbps)
Aerohive QoS Engine Plánovač • rozděluje provoz (na základě alokace airtime a spotřeby airtime) do hardwarových front Wireless Multi-Media
klient A
6 rámců
klient B
3 rámce klient B vyčerpal svůj airtime
klient C
2 rámce
rychlejší klienti jsou schopni posílat data častěji, dosahují tak vyšší propustnosti
klient C vyčerpal svůj airtime
Web Server
čas
L2/L3/4 firewall • L2 firewall › umožňuje nastavit pravidla na základě zdrojové a cílové MAC adresy › může zabránit peer-to-peer provozu a limitovat přístup k bráně, pouze pokud je to třeba
• stavový TCP/IP firewall (L3/L4) › standardní pravidla pro blokování provozu › prevence DoS útoků
• podpora aplikací DNS/FTP/SIP • izolace klientů na základě politik › unikátní vlastnost › může být konfigurováno pouze pro jeden typ provozu › příklad: je povolen pouze SIP mezi klienty
Internet
FTP VoIP (SIP)
Privátní PSK • podpora WPA-podnikového (802.1X) je pro některá zařízení komplikovaná/limitovaná
Podnikový notebook
Notebook hosta
Nepodpo ruje OKC (rychlý roaming)
Plně řiditelný, podpora WPApodnikové ho(802.1x)
Není řízen podnikem
WPA PSK
WPA PSK
WPA 802.1x
WPA PSK
Bezpečný a řiditelný
?
?
?
Privátní PSK
Typ zařízení
Smartphone
Čtečka čárových kódů
Časově náročná konfigurace certifikátů
• WPA PSK není flexibilní, řiditelné, nebo dostatečně bezpečné • privátní PSK umožňuje více uživatelům přistupovat ke stejnému SSID, ale s unikátními klíči pro každého z nich › až 1000 PPSK na jeden úl › klient musí podporovat PSK › vytváří autentifikaci jeden na jednoho › unikátní klíč je nemožný prolomit › umožňuje více různých politik na jednom SSID
• může být rozšířen RADIUS serverem
Bezpečnostní vlastnosti
Pravděpodob ný výběr zabezpečení
23
Bezpečný přístup s použitím PPSK a Active Directory Internet
Bezpečný přístup pro hosty
Firma
SaaS
• •
registrují se přes CWP je jim přiřazen unikátní privátní PSK
• • • •
CWP může rovněž autentifikovat uživatele s AD přístroj je rozpoznán podle různých parametrů je možné aplikovat specifickou politiku dle zařízení může být nastaveno pouze pro jedno zařízení
Přístup s osobním zařízením
HR
VDI email
Podnikový přístup • • • •
User Agent • Safari • iOS4, • iPhone 4
registrace AD nebo předkonfigurováno 802.1X nebo unikátní privátní PSK přístroj je rozpoznán podle různých parametrů aplikace politik na omezení přístupu na základě role nebo identity
Active Directory Bezpečný host (SSID)
Přístup (SSID)
Podnik (SSID)
Enkrypce unikátním odvolatelným klíčem
Přístup pouze pro email a internet Přístup pouze k podnikovým aplikacím
Host privátní PSK
Captive Web Portal privátní PSK
osobní iPhone
privátní PSK nebo 802.1X
podnikový iPad (jen pro obchodní aplikace)
podnikový notebook (plný přístup) 24
Řešení problémů
• Klient monitor
• VLAN sonda • Remote sniffer • Nástroj pro ověření Radius serveru
• Spektrální analýza • Pokročilá diagnostika s interaktivní komunikací od AP
802.11 Klient monitor
Přehledné sledování komunikace mezi přístupovým bodem a klientem, vhodné pro diagnostiku ověřování a problémům s 802.11 komunikací
RADIUS test
Snadný nástroj pro ověření nastavení Radius serveru, komunikace s ním a uživatelských atributů
Spektrální analýza • Aerohive nástroj pro analýzu spektra je schopen poskytnout informace o původu většiny běžných zdrojů rušení › plná spektrální analýza 2,4Ghz a 5Ghz › používá běžné signatury pro identifikace zdroje interferencí
• spektrograf používá HTML5 › nejsou žádné speciální požadavky na PC nebo flash » funguje i s iPadem nebo iPhonem
Aerohive Channel Selection Protocol (ACSP) hraje roli ve zjišťování Wi-Fi a non-Wi-Fi rušení
28
Výstup spektrální analýzy
Další možnosti diagnostiky
Google maps integrovány do HM
Volně dostupný RF planner • Integrovaný RF planner do HiveManageru • Volně dostupný po registraci na http://www.aerohive.com/planner • Možnost automatického rozmístění přístupových bodů
DĚKUJI
33
