extreme wireless

35
Беспроводные технологии Extreme Networks

Upload: dmitry-bubnov

Post on 20-Mar-2017

66 views

Category:

Technology


0 download

TRANSCRIPT

БеспроводныетехнологииExtremeNetworks

Оборудованиедляпостроениябеспроводныхсетей

• Полуавтономныеточки• Специальныйдизайн• Безопасность– WPA2,WIDS/WIPS,

AAA,Forensics• 2xHDVideoperformance• Оптимизированныеантенныдля

лучшегопокрытия• ПортыGigabitEthernet• Низкоеэнергопотребление

Точкидоступа• Физическиеивиртуальные

контроллеры• Отказоустойчивостьбез

прерываниясервиса• FlexibleSFP+(1G/10G)• Аппаратноешифрование• До2,000точекдоступаидо

32,000пользователей

Контроллеры• Унифицированныйконтрольи

автоматизация• Автоматическоеприменение

политиквпроводнойсети• Автоматическоеуправление

частотами• Многопутейданныхиролейв

одномSSID

Управление

Контроллерыбеспроводногодоступа

C25До50точекдоступа

До100точекврежимерезервирования

2хGEсетевыхинтерфейса

ВыделенныйGEинтерфейсдляуправления

До1024пользователей

C5210До1000точекдоступа

До2000точекврежимерезервирования

2хSFP+слота

2хGEсетевыхинтерфейса

ВыделенныйGEинтерфейсдляуправления

До16000пользователей

V2110

VmwareилиHyper-V

До525точекдоступа

До1050точекврежимерезервирования

2хGEсетевыхинтерфейса

ВыделенныйGEинтерфейсдляуправления

До4096пользователей

Начальныйуровень Виртуальныеконтроллеры

C35До125точекдоступа

До250точекврежимерезервирования

4хGEсетевыхинтерфейса

ВыделенныйGEинтерфейсдляуправления

До2048пользователей

Среднийуровень Крупныерешения

Точкидоступа 802.11ac

• 3825i/e• 11ac,11abgn,3x3:3MIMO• Dual-radio• 802.3afPoE• Mesh,Policy,QoS• OptionalWIDS,WIPS,spectrum

analysis• 1.75Gbps• 75Kpps• 2xE/Nwithactive/activeand

active/passive

Высокопроизводительныеточкидоступа

• 3805i/e• 11ac,11abgn,2x2:2MIMO• Dual-radio• 802.3afPoE• Mesh,Policy,QoS• OptionalWIDS,WIPS,

Spectrumanalysis• 1.16Gbps• 40Kpps• Smoke-detectorfootprint

Точкидоступаначальногоуровня

• 3865e outdoor• 11ac,11abgn,3x3:3MIMO• Dual-radio• 802.3atPoE• Mesh,Policy,QoS• OptionalWIDS,WIPS,

Spectrumanalysis• 1.75Gbps• 75Kpps• Externalantennas• IP67/NEMA6• 2xE/Ninterfaces

Внешниеточкидоступа

• 3801i• 11ac,11abgn,2x2:2MIMO• Single-radio• 802.3afPoE• Mesh,Policy,QoS• OptionalWIDS,WIPS,

Spectrumanalysis• Smoke-detectorfootprint

Точкидоступаначальногоуровня

НовыеточкидоступасерииAP3935x иАР3965х

Поддержка802.11acWave24x4:4Работавдвухчастотныхдиапазонах(5Ггц и2.4Ггц)Использованиеканаловшириной80МгцМодуляция256-QAM(вдиапазоне 2.4Ггц и 5Ггц)ДвасетевыхинтерфейсаGigabitEthernetсподдержкой LACP

• РезервированиеэлектропитаниядляАР3935х• РезервированиеPoE вследующейверсииПОдляАР3965х

ПоддержкатехнологииMU-MIMO• Одновременнаяпередачаданныхтремклиентам

ТребованияпоэлектропитаниюдляАР3935х- 802.3at• Работаврежиме2x2:2приподаче802.3af

ТребованияпоэлектропитаниюдляАР3965х- 802.3atШирокийвыбордополнительныхантенн

AP3935i

AP3935e

AP3965i

AP3965e

Новаяточкадоступа AP3912i

• Двухдиапазонная точкастандарта802.11acW2, 2x2:2SS• ПоддержкатехнологийBTLE/802.15.4(Thread,ZigBee)

• ПоддержкатехнологииMU-MIMO• Электропитание802.3af• Встроенныйанализаторспектра• ЧетыревстроенныхOmniантенны• Встроенныйкоммутаторс3-мя портами• ОдинпортсподдержкойPoE• Одинпортврежимеpassthrough• ПоддержкатехнологииExtremeCloud

Новаяточкадоступа AP3916i

Точкадоступа• Двухдиапазонная точкастандарта802.11acW2, 2x2:2SS• ПоддержкатехнологийBTLE/802.15.4(Thread,ZigBee)

• ПоддержкатехнологииMU-MIMO• Электропитание802.3af• Встроенныйанализаторспектра• ПоддержкатехнологииExtremeCloudКамера• 2-хМегапиксельная камера1920x1080@30fps• ПоддержкаH.264/MJPEG• Встроеннаяинфракраснаяподсветкадляночнойсъемки• ПоддержкастандартаONVIF• Встроенныймикрофон

• Дварежима режимаобработкиданныхотклиента• Туннелирование потоковданныхдоконтроллера• Локальнаякоммутацияпотоковнаточкедоступа• Настройкипараметровбезопасности,качества

обслуживанияиограниченияполосыпропусканиянезависитоттопологии

• Локальнаякоммутациянаточкедоступапозволяетоптимизироватьпотокитрафика всети

• Точкадоступаможетодновременноработатьвдвухрежимах

• ОдинSSIDможетиспользоватьсядляпредоставлениянесколькихтиповсервисов

• Разделениепользователейосуществляетсязасчетиспользованияполитик

Различныеподходыкпостроениютопологиисети

Управлениепокрытием

• Автоматическаяоптимизациярежимаработырадио

интерфейсовточекдоступа

• Выборчастотногоканаладляработыточки

• Согласованиемощностирадиоинтерфейсовнасоседних

точкахдляоптимизациипокрытия

• Автоматическоереагированиеназашумленностьили

загрузкурадиоканала

Управлениепокрытием

• Автоматическаяоптимизациярежимаработырадио

интерфейсовточекдоступа

• Выборчастотногоканаладляработыточки

• Согласованиемощностирадиоинтерфейсовнасоседних

точкахдляоптимизациипокрытия

• Автоматическоереагированиеназашумленностьили

загрузкурадиоканала

Управлениепокрытием

• Автоматическаяоптимизациярежимаработырадио

интерфейсовточекдоступа

• Выборчастотногоканаладляработыточки

• Согласованиемощностирадиоинтерфейсовнасоседних

точкахдляоптимизациипокрытия

• Автоматическоереагированиеназашумленностьили

загрузкурадиоканала

Распределениенагрузкимеждуточкамидоступа

Распределениенагрузкимеждуточкамидоступа• Равномерноераспределениеклиентовмеждуточкамивгруппе• Ограничениемаксимальногоколичестваклиентовнаточке• Оптимизацияиспользованиячастотногодиапазона

Точкидоступавгруппедолжны:• ИметьодинаковыйнаборSSID• Работатьнаразныхканалах• Иметьпересекающиесязоныпокрытия

Распределениенагрузкимеждучастотнымидиапазонами

Распределениенагрузкимеждучастотнымидиапазонами• 5Ггц диапазонменеезагружениобеспечиваетбольшуюскорость• Дляоптимизациииспользованиячастотныхресурсовжелательно

переключитьклиентана5Ггц интерфейс• Точканеотвечаетназапросотклиентавдиапазоне2,4Ггц,если

аналогичныйзапроспришелвдиапазоне5Ггц802.11a/n/ac

802.11b/g

802.11b/g

802.11a/n

Распределениенагрузкимеждучастотнымидиапазонами

Распределениенагрузкимеждучастотнымидиапазонами• 5Ггц диапазонменеезагружениобеспечиваетбольшуюскорость• Дляоптимизациииспользованиячастотныхресурсовжелательно

переключитьклиентана5Ггц интерфейс• Точканеотвечаетназапросотклиентавдиапазоне2,4Ггц,если

аналогичныйзапроспришелвдиапазоне5Ггц802.11a/n/ac

802.11b/g

802.11b/g

802.11a/n

2,4 Ггц

2,4 Ггц

5Ггц

5Ггц

Справедливоеразделениеэфирноговремени

Справедливоераспределениеэфирноговремени• Приодновременномподключенииклиентовнаразныхскоростях

происходитснижениескоростидлявсехклиентов• Поумолчаниювсемклиентамдаетсяправопередатьодинаковое

количествопакетов• Низкоскоростнымклиентамтребуетсябольшевременидля

передачипакета• Высокоскоростныеклиентывынужденыпростаивать• Неэффективноеиспользованиеэфирноговремени• Дляоптимизациинужноизменитьправилораспределенияэфира

междуклиентами• Выделениекаждомуклиентуодинаковоговременногоинтервала

дляпередачиданныхрешаетпроблему

240Мбит/с802.11nHT40

6Мбит/с802.11a

104Мбит/с802.11nHT20

24Мбит/с802.11a

Справедливоеразделениеэфирноговремени

Справедливоераспределениеэфирноговремени• Приодновременномподключенииклиентовнаразныхскоростях

происходитснижениескоростидлявсехклиентов• Поумолчаниювсемклиентамдаетсяправопередатьодинаковое

количествопакетов• Низкоскоростнымклиентамтребуетсябольшевременидля

передачипакета• Высокоскоростныеклиентывынужденыпростаивать• Неэффективноеиспользованиеэфирноговремени• Дляоптимизациинужноизменитьправилораспределенияэфира

междуклиентами• Выделениекаждомуклиентуодинаковоговременногоинтервала

дляпередачиданныхрешаетпроблему

240Мбит/с802.11nHT40

6Мбит/с802.11a

104Мбит/с802.11nHT20

24Мбит/с802.11a

~4,5Мбит/с

~4,5Мбит/с

~4,5Мбит/с~4,5Мбит/с

Справедливоеразделениеэфирноговремени

Справедливоераспределениеэфирноговремени• Приодновременномподключенииклиентовнаразныхскоростях

происходитснижениескоростидлявсехклиентов• Поумолчаниювсемклиентамдаетсяправопередатьодинаковое

количествопакетов• Низкоскоростнымклиентамтребуетсябольшевременидля

передачипакета• Высокоскоростныеклиентывынужденыпростаивать• Неэффективноеиспользованиеэфирноговремени• Дляоптимизациинужноизменитьправилораспределенияэфира

междуклиентами• Выделениекаждомуклиентуодинаковоговременногоинтервала

дляпередачиданныхрешаетпроблему

240Мбит/с802.11nHT40

6Мбит/с802.11a

104Мбит/с802.11nHT20

24Мбит/с802.11a

~1,5Мбит/с

~26Мбит/с

~60Мбит/с~6Мбит/с

Обнаружениеатакиконтрольбеспроводнойсети

• Отдельныйпроцесснаконтроллере– Analysys engine

• Анализнаосновеинформацииотконтроллеровиточекдоступа

• Выделенныйисовмещенныйрежимыработыдляточек

• Записьсообщениявлогилипресечениенежелательной

активности

• Дляактивациитехнологиитребуетсялицензия

• Всеточкидоступанаконтроллеремогутучаствоватьвпроцессе

• Поддерживаетсявозможностьобъединенияв

отказоустойчивыйкластер

Обнаружениеатаквсовмещенномрежиме

Основныехарактеристики

• Обслуживаниеклиентовиобнаружениеатак

• Работатольконаодномканале

• Поддерживаетсянавсехточкахдоступа

Типыобнаруживаемыхатак:

• DoS-атакиипопыткивзлома

• Нелегальныеточкидоступа

• Интерференциясдругимирадиопередающимиустройствами

Обнаружениеатакввыделенномрежиме

Основныехарактеристики

• Толькообнаружениеатак

• Последовательныйпереборнесколькихканаловвдиапазоне

• Наборобслуживаемыхканаловзадаетсявнастройках

• Неподдерживаетсянаточкахдоступасерии3705

Типыобнаруживаемыхатак:

• DoS-атакиипопыткивзлома

• Нелегальныеточкидоступа

• Интерференциясдругимирадиопередающимиустройствами

Классификацияточекдоступа

AuthorizedAP:Легальныеточкидоступакорпоративнойсети

FriendlyAP:официальныеточкидоступасоседнегоофиса

Externalhoneypot:внешниеточкидоступаанонсирующиеизвестныеSSID

Internalhoneypot:нелегальнаяточкадоступаскорпоративнымSSID

RogueAP:нелегальнаяточкадоступавпроводномсегментесети

SpoofedAP:нелегальнаяточкаанонсирующаяBSSIDлегальнойточки

Adhocnetwork:Одноранговая беспроводнаясеть

Классификацияточекдоступа

AuthorizedAP:Легальныеточкидоступакорпоративнойсети

FriendlyAP:официальныеточкидоступасоседнегоофиса

Externalhoneypot:внешниеточкидоступаанонсирующиеизвестныеSSID

Internalhoneypot:нелегальнаяточкадоступаскорпоративнымSSID

RogueAP:нелегальнаяточкадоступавпроводномсегментесети

SpoofedAP:нелегальнаяточкаанонсирующаяBSSIDлегальнойточки

Adhocnetwork:Одноранговая беспроводнаясеть

Классификацияточекдоступа

AuthorizedAP:Легальныеточкидоступакорпоративнойсети

FriendlyAP:официальныеточкидоступасоседнегоофиса

Externalhoneypot:внешниеточкидоступаанонсирующиеизвестныеSSID

Internalhoneypot:нелегальнаяточкадоступаскорпоративнымSSID

RogueAP:нелегальнаяточкадоступавпроводномсегментесети

SpoofedAP:нелегальнаяточкаанонсирующаяBSSIDлегальнойточки

Adhocnetwork:Одноранговая беспроводнаясеть

Механизмыпредотвращенияатак

Механизмыпредотвращенияатаквыключеныпоумолчанию

Обобнаруженнойугрозесоздаетсязаписьвжурналеконтроллера

Фиксируетсявремяобнаруженияиокончанияактивности

Возможныетипыреакций:

• Блокированиеподключенийстанцийкнелегальнымточкам

• Использованиечерногоспискадляблокировкиатакующихстанций

• Блокировкаподключенийкодноранговым сетям

• Блокировканежелательноготрафиканаточкедоступа

Механизмыпредотвращенияатак

Механизмыпредотвращенияатаквыключеныпоумолчанию

Обобнаруженнойугрозесоздаетсязаписьвжурналеконтроллера

Фиксируетсявремяобнаруженияиокончанияактивности

Возможныетипыреакций:

• Блокированиеподключенийстанцийкнелегальнымточкам

• Использованиечерногоспискадляблокировкиатакующихстанций

• Блокировкаподключенийкодноранговым сетям

• Блокировканежелательноготрафиканаточкедоступа

Механизмыпредотвращенияатак

Механизмыпредотвращенияатаквыключеныпоумолчанию

Обобнаруженнойугрозесоздаетсязаписьвжурналеконтроллера

Фиксируетсявремяобнаруженияиокончанияактивности

Возможныетипыреакций:

• Блокированиеподключенийстанцийкнелегальнымточкам

• Использованиечерногоспискадляблокировкиатакующихстанций

• Блокировкаподключенийкодноранговым сетям

• Блокировканежелательноготрафиканаточкедоступа

Беспроводнаясетьзапределамистен

Расширениезоныпокрытиязапределызданийбезнастроек

АвтоматическоепостроениеMesh-сети

ПоддержкадинамическихистатическихMesh-сетей

ОдновременнаяработаMesh-сетииклиентскихустройствнаодноминтерфейсе

Аналитикаданныхдлябеспроводныхсетей

Точкидоступаиконтроллерподдерживаютвозможностьанализапотоковданных• ИспользуютсяDPIотExtremeAnalytics• Поддерживаетсяраспознавание~2000приложений• DPIработаетспервыми15пакетамивкаждойсессии• СигнатурыприложенийвстроенывПОточкидоступа• ПоддерживаетсянаточкахAP38хх иAP39хх• РаботаетврежимахB@APиB@AC

РезультатыDPI используютсядлясозданияполитикнауровнеприложений• МаркировкаQoS длякритичныхприложений• Блокировка запрещенныхприложений• Ограничениеполосыпропусканиядляразличныхтипов

приложений

ExtremeWireless10.11

Аналитикаданныхдлябеспроводныхсетей

DPI

Точкидоступаиконтроллерподдерживаютвозможностьанализапотоковданных• ИспользуютсяDPIотExtremeAnalytics• Поддерживаетсяраспознавание~2000приложений• DPIработаетспервыми15пакетамивкаждойсессии• СигнатурыприложенийвстроенывПОточкидоступа• ПоддерживаетсянаточкахAP38хх иAP39хх• РаботаетврежимахB@APиB@AC

РезультатыDPI используютсядлясозданияполитикнауровнеприложений• МаркировкаQoS длякритичныхприложений• Блокировкизапрещенныхприложений• Ограничениюполосыпропусканиядляразличных

приложений

Аналитикаданныхдлябеспроводныхсетей

DPI

Точкидоступаиконтроллерподдерживаютвозможностьанализапотоковданных• ИспользуютсяDPIотExtremeAnalytics• Поддерживаетсяраспознавание~2000приложений• DPIработаетспервыми15пакетамивкаждойсессии• СигнатурыприложенийвстроенывПОточкидоступа• ПоддерживаетсянаточкахAP38хх иAP39хх• РаботаетврежимахB@APиB@AC

РезультатыDPI используютсядлясозданияполитикнауровнеприложений• МаркировкаQoS длякритичныхприложений• Блокировкизапрещенныхприложений• Ограничениюполосыпропусканиядляразличных

приложений

ExtremeCloud это– системадля:

• Управлениябеспроводнойсетьюизпубличногооблака

• Планирование,развёртывание,управлениеимониторингбеспроводнойсетичерезединыйинтерфейс

• Модельоплатынаосновеподписки• Точкидоступаработаютбезконтроллера

Представляем

Топологиясети

• Централизованноеуправлениевсемисервисами• ПоддержкаZero-TouchProvisioning

• HTTPS(SSL)connectionlessвзаимодействие• СтандартныйпортHTTPS/SSL,разрешенна

большинствеМСЭ• Точкидоступапреднастроены назаводе

• ПоддержкатопологииBridged@AP• ПоддержкаQoS (802.1p,ToS/DSCP,Rate-limits)• ПоддержкаАCL• ПоддержкаVLAN• 802.1X и MAC аутентификация

Каналуправления

Данныепользователя

Общиеограничения

Параметр Значение

Максимальноеколичество администраторовводномпрофиле 20

Максимальноеколичествоофисовдляодногопрофиля 100

Максимальноеколичествоточекдоступав одномпрофиле 10000

Максимальноеколичествоточекдоступаводномофисе 100

Максимальноеколичествопользователейвкаждомофисе 2000

Максимальноеколичестворолейпользователейвкаждомофисе 64

Проектированиебеспроводнойсетисвязи

ExtremeWirelessPlanner это– онлайнсистемадля:

• Базовыйфункционалпопредсказательномумоделированиюбеспроводнойсети

• Расстановкаточекдоступанаплане

• Расчетзоныпокрытиясучетомзатухания

• Автоматическоераспределениеточекпоканалам

• Системаработаетвтестовомрежиме

• Будетдоступнадляпартнеровизаказчиков

https://wirelessplanner.extremenetworks.com

Спасибозавнимание!