TECHNOLOGIE AEROHIVE
Kooperativní kontrola / distribuovaná inteligence Škalovatelnost, redundance, výkon Internet dynamický routing Areálová síť dynamický routing switching Spanning Tree Bezdrátový přístup kooperativní kontrola distribuovaná inteligence
Přesun technologie Přesun technologie směrem k plně distribuované inteligenci funkcionalita se přemísťuje z kontroléru do AP snadnější a flexibilnější implementace větší škálovatelnost a propustnost zvýšená bezpečnost zvýšená spolehlivost snížení nákladů snížení komplexnosti managementu
Logické síťové vrstvy Logické síťové vrstvy Routery Switche Aerohive AP Management Nastavení, aktualizace SW, monitoring Centrálně Pomocí NMS platformy Centrálně Pomocí NMS platformy Centrálně Pomocí NMS platformy (HiveManager) Řízení Intelligence rozhodování o fungování sítě např. směrování Distribuované Pomocí routovacích protokolů (OSPF, RIP, BGP,...) Distribuované Pomocí Spanning Tree a učení MAC Distribuované Pomocí protokolů Aerohive Cooperative Control (AMRP, ACSP, DNXP, INXP) Přenos dat Samotný přenos uživatelských dat Distribuovaně Data přenášena každým routerem Distribuovaně Data přenášena 4 každým switchem Distribuovaně Data přenášena každým Aerohive AP 4
Logické síťové vrstvy Logické síťové vrstvy Aerohive AP Kontrolér + AP Management Nastavení, aktualizace SW, monitoring Centrálně Pomocí NMS platformy (HiveManager) Centralizovaný Pomocí kontroléru nebo NMS platformy Řízení Intelligence rozhodování o fungování sítě např. směrování Distribuované Pomocí protokolů Aerohive Cooperative Control (AMRP, ACSP, DNXP, INXP) Centralizovaně WLAN kontrolér dělá většinu důležitých rozhodnutí Přenos dat Samotný přenos uživatelských dat Distribuovaně Data přenášena každým Aerohive AP Centralizovaně Ve většině případů směruje data kontrolér, některé systémy umožňují distribuovaný přenos dat 5
Managment komunikace HiveManager Aerohive zařízení vzájemně mezi sebou (Cooperative Control Protocols) AMRP, DNXP, INXP and ACSP Šifrováno pomocí Hive klíče Aerohive zařízení a HiveManager CAPWAP - UDP port 12222 (výchozí) nebo TCP porty 80, 443 (HTTP/HTTPS encapsulation) SCP - Port 22 Aerohive zařízení 6
Síťové politiky Síťové politiky pro různé typy nasazení Flexibilní pro snadné rozšiřování napříč lokalitami Jediné SSID a uživatelské profily napříč sítí 7
Síťové politiky Wi-Fi Jedno nastavení může být použito pro jedno zařízení, stejně jako pro tisíce Switching Routing VPN Firewall Bonjour 8
9 Aerohive Channel Selection Protocol (ACSP) všechna AP kontinuálně monitorují kvalitu kanálů použití stejných kanálů ztracené rámce(opakování a CRC) každé AP vypočítává kanálové skóre interference (802.11 i non-802.11) snižují kanálové skóre AP optimalizují výběr kanálu pro co nejlepší společný výsledek periodický monitoring zaručuje, že AP se co nejlépě vyhýbají interferencím AP si dohodnou úroveň vysílaného signálu, aby se minimalizovala interference
10 Funkce kooperativní kontroly automatické vyhledání HiveAP a jejich organizace rychlý roaming prediktivní roaming bere v úvahu topologii uchovává stav relace s klientem a adekvátní politiku Dynamic Network Extension (DNX) rychlý L3 roaming tunneling pro hosty tunel pro vzdálený přístup k síti kooperativní RF kontrola výběr kanálu, management výkonu a load balancing stanic mesh routing a prevence smyčky Aerohive Networks řešení WLAN s kooperativní kontrolou singalizace kooperativní kontroly
Layer 2 roaming asociace a autentifikace uživatele distribuce klíče AP prediktivně dodává klíče a status relace všem sousedním AP uživatel přechází a dochází k asociaci na jiné AP provoz hladce pokračuje bez přerušení Roam RADIUS Server
Layer 3 roaming s použitm DNX Router Subnet A Subnet B GRE tunel jako u L2 roamingu AP proaktivně předává klíče AP, která jsou jeden skok vzdálená aby se udržela konektivita s původním subnetem, je vytvořen tunel tunel sleduje pohyb uživatele dokud relace neskončí, pak je terminován pro příští relaci již uživatel přistupuje k lokální síti
13 Vysoká odolnost vůči výpadkům kooperativní kontrola umožňuje nastavit nepřekonatelnou úroveň redundance pokud dojde k selhání AP, klient okamžitě roamuje k jinému AP i v případě výpadku drátové části sítě AP dynamicky přesměrují provoz optimální cesta HiveAP optimální cesta agregační switch přístupový switch optimální cesta
Client Health Score rychlá informace o kvalitě připojení klientů informace pro snadnou nápravu vynikající pro menší sítě pro větší vstup do celkové SLA 14
Client Health Score Zjištění kvality připojení na první pohled možné stavy připojení. Good connection Dobré připojení Vysoká High data přenosová rates & rychlost, high kvalitní připojení successful bez transmission nutnosti opravných rates akcí Marginal connection Dostatečné připojení Nižší Lower přenosová data rates rychlost, / lower nedostatky umí bezdrátová successful síť transmission kompenzovat rates Poor connection Nevyhovující připojení Low data rates / low successful Nízká transmission přenosová rates rychlost, neplní nastavené SLA
Složky kvality připojení Rádiové parametry Celkový stav připojení Nastavení IP Aplikační propustnost Celkový stav připojení - hodnota odpovídá úrovni nejslabší složky kvality připojení - vyhodnocováno pro každé klientské zařízení 50-100 bodů Dobré připojení 25-49 bodů Dostatečné připojení 0-24 bodů Nevyhovující připojení
Složky kvality připojení každého klienta sítě Rádiové parametry - stanoveno na základě rádiových parametrů přenosu - plynulý rozsah od 0 do 100 bodů Nastavení IP - kontrola zda všechna klientská zařízení mají IP (staticky nebo z DHCP serveru) - 100 bodů pokud má IP, výchozí bránu, DNS servery - 0 bodů pokud zařízení nemá IP Aplikační propustnost - skutečná propustnost s ohledem na hodnoty SLA (100 kbps až 500 000 kbps pro každé klientské zařízení) - 100 bodů při splnění - 49 bodů při splnění s pomocí korekcí kvality připojení - 24 bodů při nesplnění
SLA automatizované akce přesunutí klienta do jiného pásma (band steer) na jiné AP (load balance) akci spustí nízké client health score Airtime Boost čas pro přenos se zvýší u klientů, kteří jsou pod svou cílovou propustností založeno na Client Health Score spustí se pouze pro klienty, kteří si mohou výsledky zlepšit
Pohled v L7 Časové filtry Nejvíce používané aplikace Nejaktivnější uživatelé Zařízení dle operačního systému Aplikace dle počtu uživatelů, kteří je používají 19
Princip dynamického rozdělení média Wi-Fi klienti automaticky vybírají přenosovou rychlost v závislosti na kvalitě spojení a prostředí všichni klienti sdílí stejné médium a pouze jeden klient může vysílat nebo přijímat v jeden moment tomu se říká airtime pomalejší klienti potřebují víc airtime, aby odeslali stejná data nejhorší klient dominuje v sítích s vysokým provozem redukují pomalí klienti propustnost na úroveň nejpomalejšího klienta Fast.11n rates.11ag & slow.11n rates.11b & slow.11agn rates
Dynamické rozdělení airtime Stejná alokace Airtime klient A (135Mbps) klient B (48 Mbps) klient C (5.5 Mbps) Aerohive QoS Engine Plánovač rozděluje provoz (na základě alokace airtime a spotřeby airtime) do hardwarových front Wireless Multi-Media klient A klient B klient C klient B vyčerpal svůj airtime 6 rámců 3 rámce 2 rámce rychlejší klienti jsou schopni posílat data častěji, dosahují tak vyšší propustnosti klient C vyčerpal svůj airtime čas Web Server
L2/L3/4 firewall L2 firewall umožňuje nastavit pravidla na základě zdrojové a cílové MAC adresy může zabránit peer-to-peer provozu a limitovat přístup k bráně, pouze pokud je to třeba stavový TCP/IP firewall (L3/L4) standardní pravidla pro blokování provozu prevence DoS útoků podpora aplikací DNS/FTP/SIP izolace klientů na základě politik unikátní vlastnost může být konfigurováno pouze pro jeden typ provozu příklad: je povolen pouze SIP mezi klienty Internet FTP VoIP (SIP)
Privátní PSK podpora WPA-podnikového (802.1X) je pro některá zařízení komplikovaná/limitovaná WPA PSK není flexibilní, řiditelné, nebo dostatečně bezpečné privátní PSK umožňuje více uživatelům přistupovat ke stejnému SSID, ale s unikátními klíči pro každého z nich až 1000 PPSK na jeden úl klient musí podporovat PSK vytváří autentifikaci jeden na jednoho unikátní klíč je nemožný prolomit umožňuje více různých politik na jednom SSID může být rozšířen RADIUS serverem Typ zařízení Smartphone Čtečka čárových kódů Bezpečnostní vlastnosti Pravděpodob ný výběr zabezpečení Časově náročná konfigurace certifikátů WPA PSK Nepodpo ruje OKC (rychlý roaming) WPA PSK Podnikový notebook Plně řiditelný, podpora WPApodnikové ho(802.1x) WPA 802.1x Notebook hosta Není řízen podnikem WPA PSK Bezpečný a řiditelný??? Privátní PSK 23
Bezpečný přístup s použitím PPSK a Active Directory User Agent Safari ios4, iphone 4 Internet SaaS HR Firma email VDI Bezpečný přístup pro hosty registrují se přes CWP je jim přiřazen unikátní privátní PSK Přístup s osobním zařízením CWP může rovněž autentifikovat uživatele s AD přístroj je rozpoznán podle různých parametrů je možné aplikovat specifickou politiku dle zařízení může být nastaveno pouze pro jedno zařízení Podnikový přístup registrace AD nebo předkonfigurováno 802.1X nebo unikátní privátní PSK přístroj je rozpoznán podle různých parametrů aplikace politik na omezení přístupu na základě role nebo identity Active Directory Bezpečný host (SSID) Přístup (SSID) Podnik (SSID) Enkrypce unikátním odvolatelným klíčem Přístup pouze pro email a internet Přístup pouze k podnikovým aplikacím Host privátní PSK Captive Web Portal privátní PSK privátní PSK nebo 802.1X osobní iphone podnikový ipad (jen pro obchodní aplikace) podnikový notebook (plný přístup) 24
Řešení problémů Klient monitor VLAN sonda Remote sniffer Nástroj pro ověření Radius serveru Spektrální analýza Pokročilá diagnostika s interaktivní komunikací od AP
802.11 Klient monitor Přehledné sledování komunikace mezi přístupovým bodem a klientem, vhodné pro diagnostiku ověřování a problémům s 802.11 komunikací
RADIUS test Snadný nástroj pro ověření nastavení Radius serveru, komunikace s ním a uživatelských atributů
Spektrální analýza Aerohive nástroj pro analýzu spektra je schopen poskytnout informace o původu většiny běžných zdrojů rušení plná spektrální analýza 2,4Ghz a 5Ghz používá běžné signatury pro identifikace zdroje interferencí spektrograf používá HTML5 nejsou žádné speciální požadavky na PC nebo flash» funguje i s ipadem nebo iphonem Aerohive Channel Selection Protocol (ACSP) hraje roli ve zjišťování Wi-Fi a non-wi-fi rušení 28
Výstup spektrální analýzy
Další možnosti diagnostiky
Google maps integrovány do HM
Volně dostupný RF planner Integrovaný RF planner do HiveManageru Volně dostupný po registraci na http://www.aerohive.com/planner Možnost automatického rozmístění přístupových bodů
DĚKUJI 33