Беспроводные сети : Cisco Aironet серии 3600

Точка доступа Cisco Aironet модуль для интеллекта безопасности беспроводной связи и спектра (WSSI) руководство по развертыванию

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Этот документ предоставляет обычную конфигурацию и руководства по развертыванию для Модуля точки доступа Cisco Aironet для Интеллекта Безопасности беспроводной связи и Спектра (WSSI). WSSI является дополнительным модулем, который может быть вставлен в точки модульного доступа (AP), такие как AP серии Cisco 3600.

http://www.cisco.com/c/dam/en/us/support/docs/wireless/aironet-3600-series/115612-Aironet-Access-Point-Module-for-WSSI-Guide01.gif

http://www.cisco.com/c/dam/en/us/support/docs/wireless/aironet-3600-series/115612-Aironet-Access-Point-Module-for-WSSI-Guide02.gif

http://www.cisco.com/c/dam/en/us/support/docs/wireless/aironet-3600-series/115612-Aironet-Access-Point-Module-for-WSSI-Guide03.gif

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Интеллектуальному модулю Безопасности беспроводной связи и Спектра нужны версии минимального кода:

  • Контроллер беспроводной локальной сети (WLC) – Версия 7.4.xx.xx или позже

  • Точка доступа (AP) – Версия 7.4.xx.xx или позже

  • Главная инфраструктура (PI) – Версия 1.3.xx.xx или позже

  • Ядро сервисов мобильности (MSE) – Версия 7.4.xx.xx или позже

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Обзор продукта

Интеллектуальный модуль безопасности беспроводной связи Cisco и Спектра, используя преимущества гибкой модульной конструкции Cisco Aironet AP серии 3600, отправляет беспрецедентное, постоянное cканирование системы безопасности и интеллект спектра. Это помогает вам избегать интерференции радиочастот (RF) так, чтобы вы получили лучшее покрытие и производительность на вашей беспроводной сети.

  • 24 x 7 мониторов полного спектра и смягчение для aWIPS, CleanAir, Осведомленности Контекста, Постороннего Обнаружения и Управления радиоресурсами

  • 24 x 7 aWIPS защит от угроз на канале

  • В 23 раза больше безопасности и покрытия спектра

  • 30% + снижение затрат CAPEX по сравнению со специализированной точкой доступа в режиме мониторинга

  • Нулевая сенсорная конфигурация

Обновляемый полем модуль WSSI является специализированным радио, которое разгружает весь мониторинг и сервисы безопасности с радио обслуживания клиента/данных на модуль мониторинга безопасности. Это не только обеспечивает лучшую производительность клиента, но также и уменьшает затраты путем избавления от необходимости специализированные AP Режима отслеживания и Инфраструктуру Ethernet, требуемую подключить те устройства в их сеть.

Вместе, AP серии 3600 и модуль WSSI позволяют вам одновременно предоставить современную безопасность и функции спектрального анализа для клиентов Wi-Fi на всех каналах, и в полосах на 5 ГГц и в на 2.4 ГГц.

После того, как развернутый, модуль постоянно просматривает все каналы, чтобы помочь гарантировать самый безопасный и устойчивый беспроводной опыт, доступный в отрасли.

Преимущества режима WSSI

Расширенный автономный режим (ELM):

  • Уменьшает сетевые затраты и операции. Путем интеграции модуля WSSI в серии 3600 можно заменить до трех отдельных устройств. Это предоставляет три, разделяют функции на одиночный, многоцелевой AP серии 3600.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/aironet-3600-series/115612-Aironet-Access-Point-Module-for-WSSI-Guide04.gif

  • Клиенты могут теперь усилить одиночное Подключение по технологии Ethernet (кабель и порт) в их проводную сеть, вместо того, что, как правило, требовало бы, чтобы до трех разделили Кабели Ethernet и порт доступа в их проводную сеть. Это значительно уменьшает их CAPEX.

  • Путем интеграции всех этих функций к одиночному AP клиенты упрощают оперативное управление и мониторинг их беспроводной инфраструктуры и сети со значительно сокращенным количеством AP. Модуль WSSI появляется к WLC и системам управления как дополнительное радио, поддерживающее 802.11b/g/a/n устройства клиента (2.4 и 5 ГГц) в определенном AP серии 3600.

  • Нулевая Сенсорная Конфигурация, Установка, Включение питания и Идут. Нет абсолютно никакой конфигурации, требуемой позволять Модулю WSSI быть в порядке, и сразу мониторинг и обеспечение вашей беспроводной сети. Модуль WSSI вставлен и защищен к любому AP серии 3600. Когда AP приведен резервное копирование в действие, модуль инициализируется наряду с другими радио в AP и сразу начинает контролировать все каналы и на 2.4 и на 5 ГГц для любых угроз потенциальной угрозы безопасности и источников помех.

  • Адаптивный wIPS предоставляет точное и эффективное обнаружение угрозы на всех каналах от беспроводных атак, посторонних AP, и оперативных соединений, а также способности классифицировать, уведомить, смягчить и сообщить для постоянного контроля и инициативного управления. Работает в сочетании с ядром сервисов мобильности (MSE) Cisco.

ELM:

http://www.cisco.com/c/dam/en/us/support/docs/wireless/aironet-3600-series/115612-Aironet-Access-Point-Module-for-WSSI-Guide05.gif

  • Добавляет wIPS cканирование системы безопасности для 7 дней в неделю, 24 часа в сутки на сканировании канала (2.4 ГГц и 5 ГГц) с оптимальным уровнем от поддержки канала.

  • AP дополнительно служит клиентам и с Серии G2 из AP, включает спектральный анализ CleanAir на каналах (2.4 ГГц и 5 ГГц).

Режим отслеживания:

  • Точка доступа в режиме мониторинга (MMAP) выделена для работы в Режиме отслеживания и имеет опцию для добавления wIPS cканирования системы безопасности всех каналов (2.4 ГГц и 5 ГГц).

  • Серии G2 из AP включает спектральный анализ CleanAir на всех каналах (2.4 ГГц и 5 ГГц).

  • MMAPs не служат клиентам.

AP3600 с модулем WSSI: развитие безопасности беспроводной связи и спектра

  • Первый AP отрасли, который упрощает одновременный сервис клиента, wIPS cканирование системы безопасности и использование спектрального анализа Технология CleanAir.

  • Специализированное радио на 5 ГГц и на 2.4 ГГц с его собственными антеннами, которое позволяет 7 дней в неделю, 24 часа в сутки просмотреть всех беспроводных каналов в полосах на 5 ГГц и на 2.4 ГГц.

  • Одиночная Инфраструктура Ethernet предоставляет упрощенной операции меньше устройств для управления и оптимизированный доход на инвестиции беспроводной инфраструктуры AP3600, и Ethernet соединила инфраструктуру проводом.

http://www.cisco.com/c/dam/en/us/support/docs/wireless/aironet-3600-series/115612-Aironet-Access-Point-Module-for-WSSI-Guide06.gif

  • Технология Cisco CleanAir: предоставляет упреждающий, высокоскоростной интеллект спектра для борьбы с проблемами производительности из-за беспроводной интерференции. Первая современная аналитическая технология RF отрасли, которая осматривает и классифицирует энергетические образцы (подписи) устройств, которые могут значительно повлиять на качество беспроводной сети.

  • Управление радиоресурсами (RRM): упрощенное, усовершенствованное управление RF, автоматически адаптируется к среде беспроводной сети на основе информации, полученной от Технологии Cisco CleanAir. Как только источники помех определены, RRM в состоянии переместить устройства клиента в каналы далеко от интерференции и отрегулировать транзитное питание переехать от источника помех. Это предоставляет лучшее качество RF пользователю.

  • Постороннее Обнаружение: обнаруживает и сообщает о закулисном доступе к сети и доступе к беспроводным клиентам.

  • Местоположение и осведомленность Контекста: предоставляет осведомленность в реальном времени и способность отследить беспроводную оконечную точку.

С этими функциями, безопасностью беспроводной связи Cisco и Интеллектуальным модулем Спектра, наряду с AP серии Cisco 3600, предоставляет самую безопасную и устойчивую беспроводную сеть класса предприятия, возможную для ваших корпоративных пользователей и данных.

На канале по сравнению с использованием Вне канала Модуля WSSI

Точка доступа в локальном режиме просматривает для источников помех CleanAir и wIPs атакующих на канале. Это означает, что AP только просматривает канал, которому он служит. Точка доступа в локальном режиме с радио на 2.4 ГГц, служащим радио канала 1 и 5 ГГц, служащему каналу 64, только обеспечивает защиту на каналах 1 и 64.

MMAP просматривает для источников помех CleanAir и wIPs атакующих, вне канала. Это означает, что AP просматривает все каналы. Радио на 2.4 ГГц просматривает все каналы на 2.4 ГГц, и канал на 5 ГГц просматривает все каналы на 5 ГГц.

AP серии Cisco 3600 использует комбинацию на канале и вне канала. Радио на 5 ГГц и на 2.4 ГГц просматривают на канале и просмотры модуля WSSI, вне канала, циклически повторяясь между всеми каналами на 5 ГГц и на 2.4 ГГц.

http://www.cisco.com/c/dam/en/us/support/docs/wireless/aironet-3600-series/115612-Aironet-Access-Point-Module-for-WSSI-Guide07.gif

Предложенная плотность развертываний для модуля WSSI

В традиционных развертываниях AP Монитора Cisco рекомендует соотношение 1 MMAP к каждым 5 AP автономного режима. Это может варьироваться на основе организации сети и опытного руководства лучшим покрытием. С модулем WSSI существуют другие рекомендации по развертыванию на основе функциональности для достижения паритета покрытия с MMAP.

Для CleanAir рекомендуется развернуть 1 модуль WSSI для каждых 5 локальных или AP Flexconnect. Это 1:5 развертывания предлагают ту же производительность, как CleanAir включил MMAP, но все еще позволяет AP служить клиентам. Это - рекомендуемое развертывание для выполнения модуля WSSI CleanAir:

http://www.cisco.com/c/dam/en/us/support/docs/wireless/aironet-3600-series/115612-Aironet-Access-Point-Module-for-WSSI-Guide08.gif

Для wIPS защиты рекомендуется развернуть 2 модуля WSSI для каждых локальных 5 или AP FlexConnect. wIPS время обнаружения для атаки вне канала приблизительно в два раза больше чем это MMAP. Поэтому 2:5 развертывания требуются, чтобы предоставлять wIPS паритет обнаружения. Это - рекомендуемое развертывание для модуля WSSI, выполняющего wIPS защита:

http://www.cisco.com/c/dam/en/us/support/docs/wireless/aironet-3600-series/115612-Aironet-Access-Point-Module-for-WSSI-Guide09.gif

AP Cisco 3600 с модулем WSSI использует и сканирование вне канала и на канале для предоставления ведущего в отрасли решения при обслуживании клиентов.

Установка модуля WSSI

http://www.cisco.com/c/dam/en/us/support/docs/wireless/aironet-3600-series/115612-Aironet-Access-Point-Module-for-WSSI-Guide10.gif

http://www.cisco.com/c/dam/en/us/support/docs/wireless/aironet-3600-series/115612-Aironet-Access-Point-Module-for-WSSI-Guide11.gif

http://www.cisco.com/c/dam/en/us/support/docs/wireless/aironet-3600-series/115612-Aironet-Access-Point-Module-for-WSSI-Guide12.gif

http://www.cisco.com/c/dam/en/us/support/docs/wireless/aironet-3600-series/115612-Aironet-Access-Point-Module-for-WSSI-Guide13.gif

Конфигурация для модуля AP3600 WSSI

Нет никакой конфигурации для необходимого модуля WSSI. Модуль автоматически просматривает все каналы на обеих полосах с помощью его 0x4 (получите только), 0 Антенн Tx x 4 приемных антенны.

Обратите внимание на то, что модуль WSSI только активен на AP3600s, настроенном или в Автономном режиме или в Режиме FlexConnect. Модуль WSSI отключен во всех других режимах.

Требование питания для модуля WSSI

AP3600 с установленным модулем WSSI превышает 15.4 ватт (802.3 акрофута). AP требует любого (802.3at - PoE +), Расширенный PoE, локальный Источник питания переменного тока или инжектор Cisco PoE (AIR-PWRINJ4).

Примечания:

  • Расширенный PoE был создан Cisco и является предшественником к 802.3at PoE +. Это предоставляет до 20 Вт питания.

  • PoE + может отправить до 30 Вт питания.

Управление радиоресурсами на модуле WSSI

Модуль WSSI проводит все измерения RRM и на полосе на 2.4 ГГц и на полосе на 5 ГГц. Измерения отображены в GUI WLC под любым Монитором> точки доступа> 802.11a/n> AP_NAME> Подробные данные или Монитор> точки доступа> 802.11b/g/n> AP_NAME> Подробные данные.

http://www.cisco.com/c/dam/en/us/support/docs/wireless/aironet-3600-series/115612-Aironet-Access-Point-Module-for-WSSI-Guide14.gif

CleanAir на модуле WSSI

Модуль WSSI обнаруживает источники помех CleanAir с той же точностью как MMAP. Cisco рекомендует, чтобы модуль WSSI был развернут с плотностью 1:5, где должен быть 1 модуль WSSI для каждых 5 AP. Это - та же рекомендуемая плотность что касается MMAP.

Когда модуль WSSI включен без подрежима, модуль просматривает и полосу на 2.4 ГГц и полосу на 5 ГГц. Модуль останавливается на каждом канале для 1.2secs и просматривает для источников помех CleanAir.

CleanAir можно включить на 2.4 ГГц только, 5 ГГц только, и и 2.4 ГГц и 5 ГГц. Это можно выбрать или от CLI WLC или от GUI. Вот пример настройки CleanAir на CLI WLC:

(Cisco Controller) >config 802.11-abgn cleanair enable APNAME 2.4GHz
(Cisco Controller) >config 802.11-abgn cleanair enable APNAME 5GHz

Одинаковая конфигурация может быть применена на GUI через беспроводные сети>, Двухдиапазонные Радио> Настраивают. Вот пример этого:

http://www.cisco.com/c/dam/en/us/support/docs/wireless/aironet-3600-series/115612-Aironet-Access-Point-Module-for-WSSI-Guide15.gif

Чтобы проверить, что источник помех CleanAir был обнаружен модулем WSSI, выполните команду show cleanair interferers от консоли AP:

SJC14-21A-AP-DUNGENESS-X# show cleanair interferers 
CleanAir: slot 0 band 2.4 number of devices 0:
CleanAir: slot 1 band 5.0 number of devices 0:
CleanAir: slot 2 band 2.4 number of devices 0:
CleanAir: slot 2 band 5.0 number of devices 1:
IDR: 24(3159) Video Camera
     ISI=0, -74 dBm, duty=100
     c=00180000 sig(4)=1057CA80
     on/report/seen 22/22/22 secs ago

Одинаковая конфигурация может быть применена на GUI через беспроводные сети>, Двухдиапазонные Радио> Настраивают. Например:

http://www.cisco.com/c/dam/en/us/support/docs/wireless/aironet-3600-series/115612-Aironet-Access-Point-Module-for-WSSI-Guide16.gif

Об источниках помех CleanAir сообщают в GUI WLC. Источниками помех является отображенная ПОЛОСА PER. Это означает, что источники помех, обнаруженные на модуле WSSI на полосе на 5 ГГц, отображены под Монитором> 802.11a/n> Интерференционные Устройства.

Чтобы проверить, что источник помех CleanAir был обнаружен модулем WSSI, выполните показ cleanair источники помех от консоли AP:

SJC14-21A-AP-DUNGENESS-X# show cleanair interferers 
CleanAir: slot 0 band 2.4 number of devices 0:
CleanAir: slot 1 band 5.0 number of devices 0:
CleanAir: slot 2 band 2.4 number of devices 0:
CleanAir: slot 2 band 5.0 number of devices 1:
IDR: 24(3159) Video Camera
     ISI=0, -74 dBm, duty=100
     c=00180000 sig(4)=1057CA80
     on/report/seen 22/22/22 secs ago

wIPS на Модуле WSSI

Модуль WSSI обнаруживает wIPS атакующих с почти той же точностью как MMAP. Для wIPS Cisco рекомендует развернуть модуль WSSI с 2:5 соотношение среди AP. Это означает для каждых 5 AP, два из AP должны содержать модуль WSSI.

Существует два wIPS режима, которые могут быть настроены:

  • подрежим wIPS - Включает wIPS обнаружение атак и просматривает все каналы в течение 1.2 с. Этот режим позволяет AP все еще перехватывать все отчёты о RRM в дополнение к wIPS обнаружениям.

  • Улучшенный wIPS режим - Включает wIPS обнаружение атак, и просматривает все каналы для 250 мс. Канал меньшего размера живет, время позволяет модулю безопасности обнаруживать более быстрых атакующих.

От страницы Prime Infrastructure (PI) перейдите, Настраивают> Точки Acesss> AP_NAME. Модуль WSSI может быть настроен или к wIPS подрежиму или к wIPS подрежиму + Расширенная wIPS Поддержка Механизма. Это может также быть выдвинуто как часть шаблона конфигурации точки доступа.

http://www.cisco.com/c/dam/en/us/support/docs/wireless/aironet-3600-series/115612-Aironet-Access-Point-Module-for-WSSI-Guide17.gif

http://www.cisco.com/c/dam/en/us/support/docs/wireless/aironet-3600-series/115612-Aironet-Access-Point-Module-for-WSSI-Guide18.gif

Атаки wIPS отображены в Главной Инфраструктуре от вкладки> Security Дом.

PI отображает представление сетевого уровня, но можно отобразить атаку на AP3600 с модулем WSSI путем запуска команды show capwap am alarm ALARM_NUM от консоли AP.

Например, сигналом тревоги 52 является Отказ в обслуживании, опознавательная лавинная рассылка. Чтобы видеть, была ли та атака обнаружена на модуле WSSI, выполните команду show capwap am alarm 52:

SJC14-21A-AP-DUNGENESS-X# show capw am alarm 52
capwap_am_show_alarm = 52

<A id='47C30C9E'> 
<AT>52</AT> 
<FT>2012/10/01 21:04:22</FT> 
<LT>2012/10/01 21:04:49</LT> 
<DT>2012/10/01 18:49:08</DT> 
<SM>00:40:96:B5:85:8D-a</SM> <SNT>2</SNT> 
<DM>00:22:55:F2:80:9F-a</DM> <DNT>1</DNT> 
 <CH>11</CH> 
 <FID>0</FID> 
 pAlarm.bPendingUpload = 0

Жулик обнаруживает на модуле WSSI

Модуль WSSI обнаруживает посторонние AP с той же точностью как MMAP. Список посторонних AP отображен и в WLC и в PI.

Это - список Несекретных Посторонних AP от GUI WLC. Посторонние AP могут быть просмотрены в GUI WLC под Монитором> Жулики.

http://www.cisco.com/c/dam/en/us/support/docs/wireless/aironet-3600-series/115612-Aironet-Access-Point-Module-for-WSSI-Guide19.gif

Можно проверить, что модуль WSSI с помощью консоли AP обнаружил Посторонний AP. От консоли введите команду show capwap rm rogue ap d2 all. Это отображает все Посторонние AP, замеченные в Радио Модуля WSSI.

SJC14-21A-AP-DUNGENESS-X# show capwap rm rogue ap dot11radio2 all
 ****************** CURRENT ROGUE APS ****************

ROGUE AP: 0  BSSID = 64:D9:89:42:24:3E, channel = 149
	SSID = alpha_phone
	heard 7 seconds ago
	authFailedCount=0
	NumOfPkts = 2, wep = 1, SP = 0, adHoc = 0, wpa = 1, 11g = 0, 11n=2
	antenna 1 pkts 2 avgRssi -81 avgSnr 13


 ****************** MASTER ROGUE APS ****************

ROGUE AP: 0  BSSID = C4:3D:C7:8A:EE:90, channel = 1
	SSID = NETGEAR_11ng
	heard 7 seconds ago
	authFailedCount=0
	isBeingContained = 0 
	seen at 0 seconds for 0 times and valid = 1
	NumOfPkts = 16108, wep = 0, SP = 1, adHoc = 0, wpa = 0, 11g = 1, 11n=2
	antenna 1 pkts 16108 avgRssi -73 avgSnr 12

ROGUE AP: 1  BSSID = EC:44:76:81:C0:02, channel = 1
	SSID = alpha_byod
	heard 151 seconds ago
	authFailedCount=0
	isBeingContained = 0 
	seen at 0 seconds for 0 times and valid = 1
	NumOfPkts = 413, wep = 1, SP = 1, adHoc = 0, wpa = 1, 11g = 1, 11n=2
	antenna 1 pkts 413 avgRssi -84 avgSnr 5

Постороннее Включение с помощью Модуля WSSI

Модуль WSSI является 0x4 модулем (только приемные антенны), означая, что постороннее включение будет выполнено по радио на 5 ГГц или на 2.4 ГГц. Для настройки WSSI для автоматического содержания посторонних AP, необходимо гарантировать, что в GUI WLC под Безопасностью> беспроводная Политика обеспечения защиты> Посторонняя Политика> Общий, который не включено Автоматическое Включение только для AP Режима отслеживания (см. следующий снимок экрана). Все другие флажки могут быть включены.

http://www.cisco.com/c/dam/en/us/support/docs/wireless/aironet-3600-series/115612-Aironet-Access-Point-Module-for-WSSI-Guide21.gif

Местоположение с учетом контекста на модуле WSSI

Когда связано с Cisco MSE, модуль WSSI предоставляет данным Местоположения с учетом контекста ту же точность как MMAP.

http://www.cisco.com/c/dam/en/us/support/docs/wireless/aironet-3600-series/115612-Aironet-Access-Point-Module-for-WSSI-Guide20.gif

Лицензирование модуля WSSI

Модуль WSSI использует wIPS лицензии режима отслеживания.


Дополнительные сведения


Document ID: 115612