Download - Trapeze WLAN-Lösung
Enterprise WLAN mit Trapeze Networks
Volker Natemeyer
Systems Engineer
Trapeze Networks, A BELDEN Brand | Proprietary and Confidential | 01/13/09 Slide
Trapeze Networks
• Gegründet März 2002
• Headquarter in Pleasanton, CA
• EMEA-Zentrale in Hilversum/NL
• 250+ Mitarbeiter
• Focus ausschliesslich WLAN
• Mehr als 40 WLAN Patente
• Über 2500 Kunden weltweit
• Über 800 Kunden in Zentraleuropa
Seit Juni 2008 Teil von Belden inc.
- 8.000 Mitarbeiter im Konzern
- 2 Mrd. Dollar Umsatz
- Spezialist für Kabel und Signalisierung
Hirschmann Automation gehört seit
Mai 2007 zu Belden
- Spezialist für Industrial Ethernet
Steckverbinder-Systeme
• Übernahme durch Trapeze im
Dezember 2008
• RTLS – LBS Experten
Trapeze Kunden in Deutschland
Stadt Pforzheim
Planung – Deployment – Management
RingMaster™
Sicherheit – Integration – Skalierbarkeit
Mobility System Software
Mobility Exchange
Die Elemente des Smart Mobile
Mobility Points
Trapeze Networks: Pionier bei den
Kontroller basierten WLAN Lösungen
WLAN als Overlay Netzwerk
• Ermöglicht unterbrechungsfreies Roaming unabängig von
bestehender Netzwerkstrukur
• Vlan
• IP Bereiche
• Definierte „Übergabepunkte“ der WLAN Daten in das
bestehende Netzwerk: L2 Ansatz
• LAN Ports am Kontroller
• Controller als L2 „Bridge“ zwischen WLAN und VLAN
• Zentrales Management
• Jegliche Konfiguration der Wlan Dienste und der APs nur über
Kontroller
SmartMobile Architektur
• Abdeckung unterschiedlicher Benutzeranforderungen
• Sicherheitanforderungen für verschiedene Nutzergruppen
• Interne WLAN Nutzer, Contractor, Besucher, ...
• Roaming
• Identische Netzwerkumgebung für den einzelnen Nutzer,
unabhängig vom Ort
• Ausfallsicherheit „Always On“
• Einfache Implementierung und Betrieb großer Netze
• Zentrale Verwaltung
• Minimierung der Eingriffe in die LAN und Security
Architektur
• Vlan, Firewall, L3 Struktur ....
• Gute Skalierbarkeit
• Anzahl der Kontroller und APs
• Erweiterbarkeit
• Virtualisierung (Clustering der Controller)
Mapping von
Benutzern auf
Vlans
RingMaster
ManagementOberfläche
Controller-Ansatz: Zentrale Kontrolle
und Konfiguration der APs
L2/L3 Netzwerk
• Control-Tunnel zwischen AP und Controller (MX)
• Kontroller als zentrale Stelle für die Konfiguation
• Auf dem Kontroller werden die Wireless Netze und die APs konfiguriert
• Viele Funktionen dezentral: De/Encryption; ALCs, QoS Handling
• AP Controller Redundanz
• Individuelle Konfiguration eines AP wird auf einem Backup Kontroller vorgehalten
• Manuell oder automatisch im Cluster Mode (später mehr)
• Konfiguration auf Kontroller und RingMaster (Management SW)
• Auch die Konfig Daten liegen physikalisch sowohl auf dem Kontroller als auch im
RingMaster
Smart Mobile Architektur:
Benutzer - Handling
L2/L3 Netzwerk
User Mapping auf Vlan
• Unterschiedliche Vlans möglich, auch wenn User mit einer
SSID verbunden sind
• Mapping konfigurierbar per SSID, per User oder User-
Group
Vlan_20
Vlan_10
Client für Vlan_20
Client für Vlan_10
Smart Mobile Architektur:
Datenfluss
L2/L3 Netzwerk
Optionen für den Client-Traffic:
• Daten Tunnel zw. AP und Controller oder
• Local Switching: Vlan Break-Out am AP
• Einstellbar pro individuellem AP
• Vlan muss am AP anliegen (tagged oder untagged)
Vlan_10
TAPA Daten-
Tunnel Local
Switching
AP -> Vlan
Einsatz mehrerer Controller:
Dynamische Vlan Tunnel
Option, falls „Ziel Vlan“ am Controller nicht anliegt:
Dyn. Daten-Tunnel zum Ziel-Controller, an dem das Vlan
konfiguriert ist
Vlan_10Vlan_extern
L2/L3 Netzwerk
TAPA Daten-
Tunnel
Client für
Vlan_extern
DMZ
Mobility Domain, Netzwerk Domain
Mobility Domain:
Umfasst alle Kontroller eines Standortes
Seamless Roaming zwischen allen APs / Kontrollern
Austausch von User/Session Daten sowie Vlan-Informationen
Bis zu 64 Kontroller je Mobility Domain
Manuelle Konfiguration des Backup-Kontrollers
Network Domain:
Mehrere Mobility Domains, die räumlich getrennt sind, können zu
einer Network Domain zusammengefasst werden
Austausch von Vlan-Informationen
Mapping User-zu-Vlan auch zwischen Standorten
Bis zu 500 Kontroller je Network Domain
Cluster: MX Virtualisierung
• Cluster bietet single-Point-of-Configuration für die APs und Wlan
Services
• Hitless Failover der APs bei MX Ausfall, Client Session bleibt bestehen
• Konfiguration auf Mobility Domain Seed MX
• Primary Seed MX wird Cluster Seed
• Secondary Seed MX wird Secondary Cluster Seed
• Alle Controller der Domain werden dem Cluster zugefügt
• Max. 64 MXs und 4096 distributed APs innerhalb des Clusters*
• Automatische Verteilung der Konfigs aller APs innerhalb des Clusters
• AP configs, Radio Profiles, Service Profiles, Vlan profiles, ACLs
*) mit MX-2800 als Cluster Seed
Controller 1 :Konfig
System Konfig 1
Wireless Konfig
AAA Konfig 1
Controller 2 :Konfig
System Konfig 2
Wireless Konfig
AAA Konfig 2
Cluster Konfig
Wireless Konfig
AAA Konfig (Radius, Access Rules)
System Konfig 1AAA Konfig 1 (local
user database)
System Konfig 2AAA Konfig 2
(local user database)
Bem.: Mit SW 7.1 (Dez.09) ist die AAA
Konfig auch Teil der Cluster Konfg
Cluster Details
• Im Cluster wird jedem AP ein primärer (PAM) und ein
sekundärer Kontroller (SAM) zugewiesen
• Der AP baut einen TAPA Control-Tunnel zum PAM und
zum SAM auf
• Beide Kontroller kennen den aktuellen Zustand des AP
• Der TAPA Datentunnel geht zum PAM
• Im Failover-Fall schwenkt der AP den TAPA Datentunnel
zum SAM um
• Nach 150 msec geht der normale Datenverkehr ohne weitere
Störungen weiter
• Für die Clients ist der Schwenk nicht bemerkbar
Cluster Konfig:: AP Load Balancing
innerhalb des Clusters
• AP Load Balancing: APs werden automatisch auf einzelne
Clustermember verteilt
• Primary AP Manager (PAM), Secondary AP Manager (SAM)
• Abhängig von Kapazität und Lizenzen
• Dynamische Re-Distribution nach Änderung der MX-Anzahl
• Die maximale Anzahl der APs innerhalb des Clusters ist
beschränkt auf die maximale Anzahl der konfigurierbaren
APs auf dem Cluster Seed
• Max 4096 APs mit MX-2800
Erhebliche Minimierung des Konfig-Aufwandes
Trapeze Networks, A BELDEN Brand | Proprietary and Confidential | 01/13/09 Slide
9 Gründe für die Trapeze Lösung
• Skalierbar von 4 bis zu tausenden
MPs
• Ein Mangement für alle Systeme
• Alle Kontroller beliebig kombinierbar
• Identischer Feature Set über alle
Kontroller
• Auch alte Kontroller unterstützen
802.11n
1. Höchste Skalierbarkeit und Investitionsschutz
Die Mobility Exchange™ Gerätefamilie
Skalierbarkeit
MX-216R
32-192 MPs
16 FastEthernet (10/100) PoE
2xGE(SFP)
FIPS 140-2
MX-8R
12 MPs
PoE, 8 FastEthernet (10/100)MXR-2
4 MPs
PoE, 2 FastEthernet (10/100)
Aussenstellen Distribution / Unterverteilungen Rechenzentren
Pe
rfo
rman
ce
MX-200R
32-192 MPs
2xGE (SFP)
FIPS 140-2
MX-2800
64-512 .11n MPs
2x10GE (XFP)
8xGE (SFP, RJ45)
FIPS 140-2
Skalierbarkeit
RingMaster Appliance RM-200
Turnkey Lösung – Hardware, OS, Plattform Tools und Applikation
Software im Bundle
Bis zu 1000 Controller oder 5000 APs
RingMaster SW
bis zu 100 Controller oder 1000 Aps
RingMaster Global
Verwaltet bis zu 20 verteilte RingMaster Server, 20.000 Controller
oder100,000 APs
1
9
Trapeze Networks, A BELDEN Brand | Proprietary and Confidential | 01/13/09 Slide
Skalierbarkeit und Investitionsschutz
Security Management
Reliability Performance
Security Management
Reliability Performance
Trapeze Networks, A BELDEN Brand | Proprietary and Confidential | 01/13/09 Slide
9 Gründe für die Trapeze Lösung
1. Höchste Skalierbarkeit und Investitionsschutz
2. Flexible Lastverteilung und Kapazitätsmanagement
3.
4.
5.
6.
7.
8.
9.
Trapeze Networks, A BELDEN Brand | Proprietary and Confidential | 01/13/09 Slide
AP Lastverteilung und “Band Steering”
• Most Wi-Fi devices default to 2.4Ghz (better range)
• Increases contention for spectrum, while 5Ghz virtually unused
• We steer 5Ghz-capable clients (802.11a/n) to 5Ghz
• Completely transparent - No duplication of SSID, VLAN required
• 30-40% better bandwidth utilization with no cost
• Load share Clients between groups of APs
802.11b/g 802.11a
Trapeze Networks, A BELDEN Brand | Proprietary and Confidential | 01/13/09 Slide
9 Gründe für die Trapeze Lösung
1. Höchste Skalierbarkeit und Investitionsschutz
2. Überragende Lastverteilung und Kapazitätsmanagement
3. Komfortabler Gast Zugriff - SmartPass
4.
5.
6.
7.
8.
9.
Smart Pass
Gast Account Management
Ausdruck von Vochers mit
Username / Password
Verschiedene User-Typen
konfiguriertbar
Datums und Zeit abhängiger
Zugang
Bandbreite / Volumenbegrenzung
Lokation
Dynamische De-
authentisierung
2
4
Anlegen eines Gast Templates
Example: Contractor that will be on your premises some days, over the next 3 weeks.
SmartPass can restrict access to only the days and hours contractor is on campus.
Other vendors only control total duration…allowing access 24/7 for the entire period.
Trapeze Networks, A BELDEN Brand | Proprietary and Confidential | 01/13/09 Slide
9 Gründe für die Trapeze Lösung
1. Höchste Skalierbarkeit und Investitionsschutz
2. Überragende Lastverteilung und Kapazitätsmanagement
3. Komfortabler Gast Zugriff - SmartPass
4. Beste Architektur für zuverlässige Voice-Anwendungen in
Festnetzqualität
5.
6.
7.
8.
9.
Trapeze Networks, A BELDEN Brand | Proprietary and Confidential | 01/13/09 Slide
Smart Mobile - Seamless Mobility
Controller A Controller B
Subnet 1 Subnet 2
Optimale Architektur für WLAN-Telefonie
• Abhängigkeit vom “Home” Controller
• Unnötige Round-Trips durchs Netzwerk
• Keine Kenntnis über Client-Roaming
• Nicht imun gegen Controller Ausfall
• Timeouts und Callabbrüche möglich
Controller A Controller B
Anchored Mobility – Basic Roaming
• Unabhängig vom “Home” Controller
• Optimierter Datenfluss durch die Infrastruktur
• Kenntnis im Voraus über Client-Roaming
• Höchste Verfügbarkeit in der Infrastruktur
• Festnetzqualität ohne Abbrüche
Client A on
Subnet 1
Client B on
Subnet 1
Subnet 1 Subnet 2
Client A on
Subnet 1
Client B on
Subnet 1
Mobility
Domain
A A
Trapeze Networks, A BELDEN Brand | Proprietary and Confidential | 01/13/09 Slide
Optimale Architektur für WLAN-Telefonie
Beste Voice Performance Getestet wurden Cisco, Siemens, Aruba,
Trapeze im Dezember 2007
Trapeze hat als einziger in allen Bereichen
ein “gut” erhalten
Trapeze Networks, A BELDEN Brand | Proprietary and Confidential | 01/13/09 Slide
9 Gründe für die Trapeze Lösung
1. Höchste Skalierbarkeit und Investitionsschutz
2. Überragende Lastverteilung und Kapazitätsmanagement
3. Komfortabler Gast Zugriff - SmartPass
4. Beste Architektur für zuverlässige Voice-Anwendungen in
Festnetzqualität
5. Identisches Managementmodell Indoor und Outdoor
6.
7.
8.
9. .
Trapeze Networks, A BELDEN Brand | Proprietary and Confidential | 01/13/09 Slide
Self-Optimizing, Self-Healing Mesh
• Verschiedene Mesh-Pfade möglich
• AP wählt besten Pfad zum Mesh-Portal
• Mesh Portale bieten Mesh Service an
• “Station Switching Records” werden im
Netz announciert
• Mesh Portal steuert Firewallregeln und
Policies
• Selbstheilung im Falle eines blockierten
Pfades
• “Station Switching Records” werden neu
announciert
Indoor / Outdoor Access Points
MP-422
Indoor
2 Radio
a/b/g
Mesh and
Bridging
MP-432
Indoor
2 Radio
3*3 MIMO
a/b/g/n
Mesh and
Bridging
MP-620
Outdoor
2 Radio
a/b/g
Mesh and
Bridging
MP-82
Indoor
2 Radio
2*3 MIMO
a/b/g/n
Mesh and
Bridging
MP-632
Outdoor
2 Radio
3*3 MIMO
a/b/g/n
Mesh and
Bridging
Trapeze Networks, A BELDEN Brand | Proprietary and Confidential | 01/13/09 Slide
9 Gründe für die Trapeze Lösung
1. Höchste Skalierbarkeit und Investitionsschutz
2. Überragende Lastverteilung und Kapazitätsmanagement
3. Komfortabler Gast Zugriff - SmartPass
4. Beste Architektur für zuverlässige Voice-Anwendungen in
Festnetzqualität
5. Identisches Managementmodell Indoor und Outdoor
6. Höchste Verfügbarkeit, Non-Stop Infrastruktur
7.
8.
9.
Smart Mobile Clustered Switching
Today’s Limited Approach
Unabhängige Switche agieren ohne direkte
Verbindung
Hot Stand-by Back-
up Switch
Switch A Switch B Switch C
Smart Mobile – Clustered Approach
Skaliert nicht optimal
Eingeschränkte Hochverfügbarkeit – APs
werden statisch auf Controller gemappt
Eingeschränkte Redundanz – N+1 (Abhängig
von der Anzahl bereitgestellter Backup-MX)
Management anspruchsvoller, hohe “Cost of
ownership”
Geclusterte Switche agieren kollektiv wie ein virtueller Controller
Optimalie Skalierbarkeit – Resourcen können
dynamisch hinzugefügt werden
Höchste Verfügbarkeit – APs werden
automatisch gemappt und dynamisch
umverteilt wenn nötigAlways-on Redundanz – Jeder Switch kann als
Backup fungieren
Einfaches Management, single point of configuraton niedrigste “Cost of ownership”
Trapeze Networks, A BELDEN Brand | Proprietary and Confidential | 01/13/09 Slide
9 Gründe für die Trapeze Lösung
1. Höchste Skalierbarkeit und Investitionsschutz
2. Lastverteilung und Kapazitätsmanagement
3. Komfortabler Gast Zugriff - SmartPass
4. Beste Architektur für zuverlässige Voice-Anwendungen in
Festnetzqualität
5. Identisches Managementmodell Indoor und Outdoor
6. Höchste Verfügbarkeit, Non-Stop Infrastruktur
7. Führende Wireless IDS/IPS mit dynamischen
Gegenmaßnahmen
8.
9.
Trapeze Networks, A BELDEN Brand | Proprietary and Confidential | 01/13/09 Slide
Strong
Encryption
Trapeze Multi-Tiered WLAN Security
AAA
Servers Rogue AP
Trusted Client
X
X
Verschlüsselung
• 802.1X, EAP-TLS, PEAP, TTLS, MAC, Web, ...
• 802.11i, WPA2, WPA, AES, CCMP …
Endgerätekontrolle
• Trusted Network Connect (Trusted Computing Group)
• Microsoft Network Access Protection (NAP)
• Juniper Networks Unified Access Control (UAC)
Angreifer Abwehr
• Core WIDS/WIPS
• Scan, detect, locate, disable Rogues
• Automatically classify and disable Rogues
• Location aware access control
• Dynamic Authorization changes
Untrusted Client
802.1X
Authentication
RingMaster
Web Portal with
Integrity Check
Intrusion
Detection &
Protection
Firewall
• Application-aware QoS scheduling, location and security filtering
• Time and location based access control
SmartPass
LA-200
Untrusted Client
Web Portal with Location
Check
Rogue User
Application
Firewall
IDS/IPS Erkannte Angriffe
• Rogue access points
• Interfering access points
• Rogue 802.11 clients
• Interfering 802.11 clients
• 802.11 adhoc clients
• Unknown 802.11 clients
• Interfering 802.11 clients on wired LAN
• 802.11 probe request flood
• 802.11 authentication flood
• 802.11 null data flood
• 802.11 mgmt type 6 flood
• 802.11 mgmt type 7 flood
• 802.11 mgmt type d flood
• 802.11 mgmt type e flood
• 802.11 mgmt type f flood
• 802.11 association flood
• 802.11 reassociation flood
• 802.11 disassociation flood
• Weak wep initialization vectors
• Spoofed access point mac-address attacks
• Spoofed client mac-address attacks
• Ssid masquerade attacks
• Spoofed deauthentication attacks
• Spoofed disassociation attacks
• Null probe responses
• Broadcast deauthentications
• FakeAP ssid attacks
• FakeAP bssid attacks
• Netstumbler clients
• Wellenreiter clients
• Active scans
• Wireless bridge frames
• Adhoc client frames
• Access points present in attack-list
• Access points not present in ssid-list
• Access points not present in vendor-list
• Clients not present in vendor-list
• Clients added to automatic black-list
Trapeze Networks, A BELDEN Brand | Proprietary and Confidential | 01/13/09 Slide
Führendes wireless IDS/IPS
Führend bei WLAN Sicherheit
Studie über die Top 11 WLAN Anbieter
Trapeze auf Platz #1
Unabhängige Studie*20-seitiger Bericht verfügbar
Trapeze Networks, A BELDEN Brand | Proprietary and Confidential | 01/13/09 Slide
9 Gründe für die Trapeze Lösung
1. Höchste Skalierbarkeit und Investitionsschutz
2. Überragende Lastverteilung und Kapazitätsmanagement
3. Komfortabler Gast Zugriff - SmartPass
4. Beste Architektur für zuverlässige Voice-Anwendungen in
Festnetzqualität
5. Identisches Managementmodell Indoor und Outdoor
6. Höchste Verfügbarkeit, Non-Stop Infrastruktur
7. Führende Wireless IDS/IPS mit dynamischen
Gegenmaßnahmen
8. Fortschrittlichstes RF Planungstool und WLAN-
Management
9. .
RingMaster™
Eine Applikation für komplette Lebensdauer Benutzer- und Rechteverwaltung
Client-Server Konzept
Win, Linux, Mac OS X
RingMaster Bestandteile Komplette Simulation und HF-
Planung
Konfigurationsmanagement
Monitoring Display
Reporterstellung
Integration und AutomatisierungVermeiden von
Konfigurationsfehlern
Schnellere Erkennung von Problemen
Effizientere Planung
40
Zentrales Lifecycle Management
• Planen kompletter Gebäude
• Bestimmt Anzahl und Ort benötigter Access Points
• Manuelle Korrekturen und Verdichtungen möglich
• Erstellt Ausleuchtung und Arbeitsauftrag
Integrierte
WLAN-Planung
Netzwerkweite
Konfiguration
Umfangreiches
Monitoring
Kontinuierliche
Überwachung der
Performance und
Optimierung
43
Zentrales Lifecycle Management
• Dashboard-Ansicht
• Fehler- und Alarmzuordnung
• Detailansichte
• Anpassbare Reports
• bis zu 30 Tage History
Integrierte
WLAN-Planung
Netzwerkweite
Konfiguration
Umfangreiches
Monitoring
Kontinuierliche
Überwachung der
Performance und
Optimierung
Trapeze Networks, A BELDEN Brand | Proprietary and Confidential | 01/13/09 Slide
9 Gründe für die Trapeze Lösung
1. Höchste Skalierbarkeit und Investitionsschutz
2. Lastverteilung und Kapazitätsmanagement
3. Komfortabler Gast Zugriff - SmartPass
4. Beste Architektur für zuverlässige Voice-Anwendungen in
Festnetzqualität
5. Identisches Managementmodell Indoor und Outdoor
6. Höchste Verfügbarkeit, Non-Stop Infrastruktur
7. Führende Wireless IDS/IPS mit dynamischen
Gegenmaßnahmen
8. Fortschrittlichstes RF Planungstool und WLAN-
Management
9. Integration von RTLBS Real Time Location based
Services
Trapeze Networks, A BELDEN Brand | Proprietary and Confidential | 01/13/09 Slide
Trapeze Location Appliance™
Lokalisierungsserver sammelt und wertet die RSSI Daten aller Clients aus, die
von den APs gesendet werden
Raumgenaue Ortung durch Vergleich mit vorher genommenen RSSI Fingerprints
der Räume
Überwachung von IEEE 802.11 Geräten OHNE spezielle Clientsoftware
RFID- Tags, WLAN-Telefone, PDAs, Laptops
Hohe Präzision (99 % Raumgenau)
Geringe Verzögerung (“fast” in Echtzeit: 20 bis 60 sec)
Hohe Skalierbarkeit (Überwachung von 1000en Geräten gleichzeitig)
Trapeze Networks, A BELDEN Brand | Proprietary and Confidential | 01/13/09 Slide
Anwendungen
• Häufige Anwendungsfälle• Monitoring – Endgeräte und Rogue
Monitorung und Auditing
– Branchen: Unternehmen, Universitäten
• Location based access control – “RF
Firewall” w/ “grey” access
– Branchen: Unternehmen, Universitäten
• Asset Tracking – Ortung wertvoller
Assets verbessert Prozesse
– Branchen: Krankenhaus, Hotels
• Location Based Content Delivery –
Kontextabhängige Datenzugriffe je nach
Aufenthaltsort des Users
– Branchen: Krankenhaus, Museums /
Messen
Trapeze Networks, A BELDEN Brand | Proprietary and Confidential | 01/13/09 Slide
Die Komplettlösung – RF Firewall
• Location based access
control application
(SmartPass)• Verwaltung von Regeln zur
Steuerung des Userzugriffes
basierend auf Ort,
Datentransfer, Username,
SSID, etc..
• Möglichkeit von “allow” und
“deny” Regeln basierend auf
dem Aufenthaltsort des Users
Vielen Dank!