- Ketersediaan;
- Keamanan;
- Otomatisasi.
Hasil penelitian ditunjukkan di bawah ini. Sejak 2019, fungsionalitas pengontrol Cisco Catalyst 9800 Series telah ditingkatkan secara signifikan - poin-poin ini juga tercermin dalam artikel ini.
Anda dapat membaca tentang manfaat lain dari teknologi Wi-Fi 6, contoh implementasi dan aplikasinya di sini .
Ringkasan solusi
Pengontrol Wi-Fi 6 Cisco Catalyst 9800 Series
Seri Pengontrol Nirkabel Cisco Catalyst 9800 Series, berdasarkan sistem operasi IOS-XE (yang juga digunakan untuk sakelar dan router Cisco), tersedia dalam berbagai opsi.
Model lama dari pengontrol 9800-80 mendukung bandwidth nirkabel hingga 80 Gb / s. Satu pengontrol 9800-80 mendukung hingga 6.000 titik akses dan hingga 64.000 klien nirkabel.
Model jarak menengah, pengontrol 9800-40, mendukung throughput hingga 40 Gbps, hingga 2.000 titik akses, dan hingga 32.000 klien nirkabel.
Selain model-model ini, Pengontrol Nirkabel 9800-CL (CL singkatan dari Cloud) juga disertakan dalam analisis persaingan. 9800-CL berjalan di lingkungan virtual pada VMWare ESXI dan hypervisor KVM, dan kinerjanya bergantung pada sumber daya perangkat keras khusus untuk mesin virtual pengontrol. Dalam konfigurasi maksimumnya, pengontrol Cisco 9800-CL, seperti model 9800-80 yang lebih lama, mendukung skalabilitas hingga 6.000 titik akses dan hingga 64.000 klien nirkabel.
Dalam studi dengan pengontrol, kami menggunakan seri Cisco Aironet AP 4800, yang mendukung 2,4 dan 5 GHz dengan kemampuan untuk secara dinamis beralih ke mode ganda 5-GHz.
Dudukan uji
Sebagai bagian dari pengujian, dudukan telah dipasang yang terdiri dari dua pengontrol nirkabel Cisco Catalyst 9800-CL yang beroperasi di cluster dan titik akses seri Cisco Aironet AP 4800.
Laptop Dell dan Apple serta Apple iPhone digunakan sebagai perangkat klien.
Pengujian aksesibilitas
Aksesibilitas didefinisikan sebagai kemampuan pengguna untuk mengakses dan menggunakan sistem atau layanan. Ketersediaan tinggi berarti akses berkelanjutan ke sistem atau layanan, terlepas dari peristiwa tertentu.
Ketersediaan tinggi telah diuji dalam empat skenario, tiga skenario pertama adalah peristiwa yang dapat diprediksi atau dijadwalkan yang dapat terjadi selama jam kerja atau non-jam kerja. Skenario kelima adalah kesalahan klasik, yang merupakan peristiwa yang tidak dapat diprediksi.
Deskripsi skenario:
- Perbaikan bug - pembaruan mikro sistem (perbaikan bug atau tambalan keamanan), yang memungkinkan Anda untuk memperbaiki kesalahan ini atau itu atau kerentanan tanpa memperbarui perangkat lunak sistem sepenuhnya;
- Pembaruan fungsional - menambah atau memperluas fungsionalitas sistem saat ini dengan menginstal pembaruan fungsional;
- – ;
- – ;
- – .
Seringkali, dalam banyak solusi kompetitif, penambalan memerlukan pembaruan lengkap perangkat lunak sistem pengontrol nirkabel, yang dapat mengakibatkan waktu henti yang tidak direncanakan. Dalam kasus solusi Cisco, penambalan dilakukan tanpa menghentikan produk. Tambalan dapat diterapkan ke salah satu komponen saat infrastruktur nirkabel terus beroperasi.
Prosedurnya sendiri cukup sederhana. File patch disalin ke folder boot di salah satu pengontrol nirkabel Cisco, dan kemudian operasi dikonfirmasi melalui GUI atau baris perintah. Selain itu, melalui antarmuka grafis atau baris perintah, Anda masih dapat membatalkan dan menghapus tambalan, juga tanpa mengganggu sistem.
Pembaruan fungsional
Pembaruan perangkat lunak fungsional diterapkan untuk mengaktifkan fitur-fitur baru. Salah satu peningkatan tersebut adalah pembaruan database tanda tangan aplikasi. Paket ini telah diinstal di pengontrol Cisco sebagai pengujian. Seperti hotfix, pembaruan fitur diterapkan, diinstal, atau dihapus tanpa gangguan atau gangguan sistem.
Pembaruan penuh
Saat ini, pembaruan lengkap gambar perangkat lunak pengontrol dilakukan dengan cara yang sama seperti gambar fungsional, yaitu, tanpa waktu henti. Namun, fitur ini hanya tersedia dalam konfigurasi berkerumun jika terdapat lebih dari satu pengontrol. Pembaruan lengkap dilakukan secara berurutan: pertama pada satu pengontrol, lalu pada yang kedua.
Menambahkan model titik akses baru
Menghubungkan titik akses baru yang sebelumnya tidak dioperasikan dengan image perangkat lunak pengontrol yang digunakan ke jaringan nirkabel merupakan operasi yang cukup sering dilakukan, terutama di jaringan besar (bandara, hotel, fasilitas produksi). Cukup sering dalam solusi pesaing, operasi ini memerlukan pembaruan perangkat lunak sistem atau boot ulang pengontrol.
Saat menghubungkan titik akses Wi-Fi 6 baru ke Cisco Catalyst 9800 Series Controller Cluster, masalah ini tidak teramati. Sambungan titik baru ke pengontrol dilakukan tanpa memperbarui perangkat lunak pengontrol, dan proses ini tidak memerlukan reboot, sehingga tidak mempengaruhi jaringan nirkabel dengan cara apa pun.
Kegagalan pengontrol
Di lingkungan pengujian, dua pengontrol Wi-Fi 6 (Aktif / Siaga) digunakan dan titik akses memiliki koneksi langsung ke kedua pengontrol.
Satu pengontrol nirkabel aktif, dan yang lainnya, masing-masing, siaga. Jika pengontrol aktif gagal, pengontrol cadangan mengambil alih dan statusnya berubah menjadi aktif. Prosedur ini terjadi tanpa gangguan untuk titik akses dan Wi-Fi untuk klien.
Keamanan
Bagian ini membahas aspek keamanan, yang sangat penting dalam jaringan nirkabel. Keamanan solusi dinilai dengan karakteristik berikut:
- Pengakuan aplikasi;
- Melacak arus lalu lintas (Pelacakan aliran);
- Analisis lalu lintas terenkripsi;
- Deteksi dan pencegahan intrusi;
- Alat otentikasi;
- Alat perlindungan perangkat klien.
Pengenalan aplikasi
Di antara beragam produk di pasar Wi-Fi perusahaan dan industri, terdapat perbedaan dalam seberapa baik produk mengidentifikasi lalu lintas di seluruh aplikasi. Produk dari produsen yang berbeda dapat mengidentifikasi sejumlah aplikasi yang berbeda. Pada saat yang sama, banyak aplikasi yang diindikasikan oleh solusi kompetitif sebagai mungkin untuk identifikasi sebenarnya adalah situs web, dan bukan aplikasi unik.
Ada fitur menarik lainnya dari pengenalan aplikasi: solusi sangat bervariasi dalam keakuratan identifikasi.
Dengan mempertimbangkan semua pengujian yang dilakukan, kami dapat secara bertanggung jawab menyatakan bahwa solusi Cisco Wi-Fi-6 melakukan pengenalan aplikasi dengan sangat akurat: Jabber, Netflix, Dropbox, YouTube dan aplikasi populer lainnya, serta layanan web, diidentifikasi secara akurat. Selain itu, solusi Cisco dapat menyelami paket data lebih dalam menggunakan DPI (Inspeksi Paket Mendalam).
Melacak arus lalu lintas
Pengujian lain dilakukan untuk mengetahui apakah sistem dapat melacak dan melaporkan aliran data secara akurat (seperti pergerakan file besar). Untuk menguji ini, file 6,5 megabyte dikirim melalui jaringan menggunakan File Transfer Protocol (FTP).
Solusi Cisco sesuai dengan tugasnya dan mampu melacak lalu lintas ini berkat NetFlow dan kemampuan perangkat kerasnya. Lalu lintas dideteksi dan segera diidentifikasi dengan jumlah persis data yang ditransfer.
Analisis lalu lintas terenkripsi
Lalu lintas data pengguna semakin dienkripsi. Ini dilakukan untuk melindunginya agar tidak dilacak atau dicegat oleh penyusup. Tetapi pada saat yang sama, peretas semakin banyak menggunakan enkripsi untuk menyembunyikan malware mereka dan melakukan operasi meragukan lainnya seperti Man-in-the-Middle (MiTM) atau serangan keylogging.
Sebagian besar perusahaan memeriksa beberapa lalu lintas terenkripsi dengan terlebih dahulu mendekripsinya dengan firewall atau sistem pencegahan intrusi. Tetapi proses ini memakan waktu dan tidak menguntungkan kinerja jaringan secara keseluruhan. Apalagi, setelah didekripsi, data ini menjadi rentan untuk diintip.
Pengontrol Cisco Catalyst 9800 series berhasil memecahkan masalah menganalisis lalu lintas terenkripsi dengan cara lain. Solusinya disebut Encrypted Traffic Analytics (ETA). ETA adalah teknologi yang saat ini tidak memiliki analog dalam solusi kompetitif dan yang mendeteksi malware dalam lalu lintas terenkripsi tanpa perlu mendekripsi. ETA adalah fitur IOS-XE dasar yang mencakup Enhanced NetFlow dan menggunakan algoritme perilaku canggih untuk mendeteksi pola lalu lintas berbahaya yang bersembunyi di lalu lintas terenkripsi.
ETA tidak mendekripsi pesan, tetapi mengumpulkan profil metadata dari aliran lalu lintas terenkripsi - ukuran paket, interval waktu antar paket, dan banyak lagi. Metadata tersebut kemudian diekspor dalam data NetFlow v9 ke Cisco Stealthwatch.
Fungsi utama Stealthwatch adalah memonitor lalu lintas secara terus menerus, serta membuat indikator dasar dari aktivitas jaringan reguler. Dengan menggunakan metadata aliran terenkripsi yang dikirim kepadanya oleh ETA, Stealthwatch menerapkan pembelajaran mesin berlapis untuk mengidentifikasi anomali perilaku lalu lintas yang dapat mengindikasikan peristiwa mencurigakan.
Tahun lalu, Cisco menyewa Miercom untuk mengevaluasi solusi Cisco Encrypted Traffic Analytics secara independen. Dalam penilaian ini, Miercom secara terpisah mengirimkan ancaman yang dikenal dan tidak dikenal (virus, Trojans, ransomware) dalam lalu lintas terenkripsi dan tidak terenkripsi di jaringan ETA dan non-ETA besar untuk mengidentifikasi ancaman.
Untuk pengujian, kode berbahaya diluncurkan di kedua jaringan. Dalam kedua kasus tersebut, aktivitas mencurigakan secara bertahap terdeteksi. Jaringan ETA awalnya mendeteksi ancaman 36% lebih cepat daripada jaringan non-ETA. Pada saat yang sama, dalam proses kerja, produktivitas pendeteksian di jaringan ETA mulai meningkat. Hasilnya, setelah beberapa jam beroperasi di jaringan ETA, dua pertiga dari ancaman aktif berhasil dideteksi, dua kali lebih banyak daripada di jaringan non-ETA.
Fungsionalitas ETA terintegrasi dengan baik dengan Stealthwatch. Ancaman diberi peringkat berdasarkan tingkat keparahan, ditampilkan dengan informasi terperinci, dan opsi untuk tindakan korektif setelah dikonfirmasi. Kesimpulan - ETA berhasil!
Deteksi dan pencegahan intrusi
Cisco sekarang memiliki alat keamanan canggih lainnya, Cisco Advanced Wireless Intrusion Prevention System (aWIPS), mesin pendeteksi dan pencegahan ancaman untuk jaringan nirkabel. AWIPS bekerja pada pengontrol, titik akses, dan perangkat lunak manajemen Cisco DNA Center. Proses Deteksi, Peringatan, dan Pencegahan Ancaman menggabungkan analisis lalu lintas jaringan, perangkat jaringan dan informasi topologi jaringan, teknik berbasis tanda tangan, dan deteksi anomali untuk menghasilkan akurasi tinggi dan pencegahan ancaman nirkabel.
Integrasi penuh aWIPS ke dalam infrastruktur jaringan Anda memungkinkan Anda untuk terus memantau lalu lintas nirkabel pada jaringan kabel dan nirkabel dan menggunakannya untuk secara otomatis menganalisis potensi serangan dari banyak sumber untuk mengidentifikasi dan mencegah potensi serangan selengkap mungkin.
Alat otentikasi
Saat ini, selain alat otentikasi klasik, dukungan WPA3 tersedia dalam solusi seri Cisco Catalyst 9800. WPA3 adalah versi terbaru WPA dan merupakan seperangkat protokol dan teknologi yang menyediakan otentikasi dan enkripsi untuk jaringan Wi-Fi.
WPA3 menggunakan metode Simultan Otentikasi Setara (SAE) untuk memberikan perlindungan pengguna yang paling aman terhadap serangan brute force oleh pihak ketiga. Ketika klien terhubung ke titik akses, ia melakukan pertukaran SAE. Jika berhasil, masing-masing akan membuat kunci yang kuat secara kriptografis dari mana kunci sesi akan diperoleh, dan kemudian mereka masuk ke status konfirmasi. Setelah itu, klien dan titik akses dapat memasuki status pengakuan setiap kali kunci sesi perlu dibuat. Metode ini menggunakan kerahasiaan maju, di mana penyerang dapat memecahkan satu kunci, tetapi tidak semua kunci lainnya.
Artinya, SAE dibuat sedemikian rupa sehingga penyerang yang mencegat lalu lintas hanya memiliki satu upaya untuk menebak kata sandi sebelum data yang dicegat menjadi tidak berguna. Untuk mengatur tebakan kata sandi jangka panjang, Anda memerlukan akses fisik ke titik akses.
Perlindungan perangkat klien
Perlindungan pelanggan utama untuk solusi nirkabel Cisco Catalyst 9800 Series saat ini adalah Cisco Umbrella WLAN, layanan keamanan jaringan berbasis cloud dan berbasis DNS yang secara otomatis mendeteksi ancaman yang dikenal dan yang muncul.
Cisco Umbrella WLAN menyediakan perangkat klien dengan koneksi yang aman ke Internet. Ini dicapai melalui pemfilteran konten, yaitu dengan memblokir akses ke sumber daya di Internet sesuai dengan kebijakan perusahaan. Dengan demikian, perangkat klien di Internet dilindungi dari malware, ransomware, dan phishing. Penegakan kebijakan didasarkan pada 60 kategori konten yang terus diperbarui.
Otomatisasi
Jaringan nirkabel modern jauh lebih fleksibel dan kompleks, sehingga metode tradisional untuk mengkonfigurasi dan mengambil informasi dari pengontrol nirkabel tidak cukup. Administrator jaringan dan profesional keamanan informasi memerlukan alat otomatisasi dan analitik, yang mendorong vendor nirkabel untuk menawarkan alat tersebut.
Untuk mengatasi tantangan ini, Pengontrol Nirkabel Cisco Catalyst 9800 Series mendukung protokol konfigurasi jaringan RESTCONF / NETCONF dengan bahasa pemodelan data Yet Another Next Generation (YANG) bersama dengan API tradisional.
NETCONF adalah protokol berbasis XML yang dapat digunakan aplikasi untuk meminta informasi dan mengubah konfigurasi perangkat jaringan seperti pengontrol nirkabel.
Selain metode ini, pengontrol Cisco Catalyst 9800 Series menyediakan kemampuan untuk memperoleh, mengambil, dan menganalisis data aliran menggunakan NetFlow dan sFlow.
Untuk keamanan dan pemodelan lalu lintas, kemampuan untuk melacak arus tertentu adalah alat yang berharga. Untuk mengatasi masalah ini, protokol sFlow diimplementasikan, yang memungkinkan Anda untuk menangkap dua paket dari setiap seratus. Namun, terkadang ini mungkin tidak cukup untuk analisis dan studi yang memadai serta penilaian aliran. Oleh karena itu, alternatifnya adalah NetFlow, yang diimplementasikan oleh Cisco, yang memungkinkan 100% pengumpulan dan ekspor semua paket dalam aliran tertentu untuk analisis lebih lanjut.
Fitur lain, meskipun hanya tersedia dalam implementasi perangkat keras dari pengontrol, yang mengotomatiskan jaringan nirkabel di pengontrol seri Cisco Catalyst 9800, adalah dukungan Python bawaan sebagai add-on untuk menggunakan skrip secara langsung pada pengontrol nirkabel itu sendiri.
Terakhir, untuk pemantauan dan operasi manajemen, pengontrol Cisco Catalyst 9800 Series mendukung SNMP v1, v2, dan v3 yang telah teruji waktu.
Dengan demikian, dalam hal otomatisasi, solusi Cisco Catalyst 9800 Series sepenuhnya responsif terhadap kebutuhan bisnis saat ini dengan menawarkan keduanya yang baru dan unik. serta alat yang telah teruji waktu untuk operasi dan analitik otomatis dalam jaringan nirkabel dengan berbagai ukuran dan kompleksitas.
Kesimpulan
Dengan solusi berdasarkan pengontrol Cisco Catalyst 9800 Series, Cisco telah bekerja dengan baik dalam kategori ketersediaan, keamanan, dan otomasi yang tinggi.
Solusi ini sepenuhnya memenuhi semua persyaratan ketersediaan tinggi seperti failover dalam waktu kurang dari satu detik selama acara yang tidak direncanakan dan nol waktu henti untuk acara yang dijadwalkan.
Pengontrol Cisco Catalyst 9800 Series memberikan keamanan komprehensif yang menyediakan inspeksi paket mendalam untuk mengenali dan mengelola aplikasi, visibilitas penuh ke aliran data dan identifikasi ancaman yang tersembunyi dalam lalu lintas terenkripsi, dan otentikasi tingkat lanjut serta mekanisme perlindungan klien.
Untuk otomatisasi dan analitik operasi, Cisco Catalyst 9800 Series sangat kuat menggunakan model standar populer: YANG, NETCONF, RESTCONF, API tradisional, dan skrip Python tertanam.
Dengan demikian, Cisco sekali lagi mengukuhkan statusnya sebagai produsen solusi jaringan terkemuka di dunia, mengikuti perkembangan zaman dan mempertimbangkan semua tantangan bisnis modern.
Untuk informasi lebih lanjut tentang keluarga sakelar Catalyst, kunjungi situs web Cisco.