コントローラがあれば問題ありません：ワイヤレスネットワークを簡単に実行し続ける方法

2019年、コンサルティング会社のMiercomは、Cisco Catalyst9800シリーズWi-Fi6コントローラーの独立した技術評価を実施しました。この調査では、テストベンチをCisco Wi-Fi 6コントローラーとアクセスポイントから組み立て、技術ソリューションを次のカテゴリで評価しました。

• 可用性;
• 安全性;
• オートメーション。

調査結果を以下に示します。2019年以降、Cisco Catalyst 9800シリーズコントローラーの機能が大幅に改善されました。これらの点は、この記事にも反映されています。



Wi-Fi 6テクノロジーの他の利点、実装例、およびアプリケーションについては、こちらをご覧ください。

ソリューションの概要

Cisco Catalyst9800シリーズWi-Fi6コントローラー

IOS-XEオペレーティングシステム（Ciscoスイッチおよびルーターにも使用されます）に基づくCisco Catalyst 9800シリーズワイヤレスコントローラーシリーズは、さまざまなオプションで利用できます。







古いモデルの9800-80コントローラーは、最大80Gbpsのワイヤレス帯域幅をサポートします。 1つの9800-80コントローラーは、最大6,000のアクセスポイントと最大64,000のワイヤレスクライアントをサポートします。



ミッドレンジモデルの9800-40コントローラーは、最大40 Gbpsのスループット、最大2,000のアクセスポイント、および最大32,000のワイヤレスクライアントをサポートします。



これらのモデルに加えて、9800-CLワイヤレスコントローラー（CLはCloudの略）も競合分析に含まれていました。9800-CLは、VMWare ESXIおよびKVMハイパーバイザーの仮想化環境で実行され、そのパフォーマンスは、コントローラー仮想マシンの専用ハードウェアリソースに依存します。最大構成では、Cisco 9800-CLコントローラーは、古い9800-80モデルと同様に、最大6,000のアクセスポイントと最大64,000のワイヤレスクライアントのスケーラビリティをサポートします。



コントローラを使用した調査では、2.4GHzと5GHzをサポートし、デュアル5GHzモードに動的に切り替える機能を備えたCiscoAironet AP4800シリーズを使用しました。

テストスタンド

テストの一環として、クラスターで動作する2台のCisco Catalyst9800-CLワイヤレスコントローラーとCiscoAironet AP 4800シリーズアクセスポイントからスタンドを組み立てました



。クライアントデバイスとして、DellとAppleのラップトップとAppleiPhoneを使用しました。

アクセシビリティテスト

アクセシビリティは、システムまたはサービスにアクセスして使用するユーザーの能力として定義されます。高可用性とは、特定のイベントに関係なく、システムまたはサービスへの継続的なアクセスを意味します。



高可用性は4つのシナリオでテストされています。最初の3つのシナリオは、営業時間中または営業時間後に発生する可能性のある予測可能またはスケジュールされたイベントです。5番目のシナリオは、予測できないイベントである古典的なグリッチです。



シナリオの説明：

• バグ修正-システムのマイクロアップデート（バグフィックスまたはセキュリティパッチ）。これにより、システムソフトウェアを完全に更新せずに、このエラーまたは脆弱性を修正できます。
• 機能アップデート-機能アップデートをインストールすることにより、システムの現在の機能を追加または拡張します。
• – ;
• – ;
• – .

多くの競合ソリューションでは、パッチを適用するにはワイヤレスコントローラシステムソフトウェアの完全な更新が必要であり、計画外のダウンタイムが発生する可能性があります。シスコソリューションの場合、パッチは製品を停止せずに実行されます。パッチは、ワイヤレスインフラストラクチャが動作している間、任意のコンポーネントに適用できます。



手順自体は非常に簡単です。パッチファイルは、いずれかのCiscoワイヤレスコントローラのブートフォルダにコピーされ、GUIまたはコマンドラインを介して動作が確認されます。さらに、グラフィカルインターフェイスまたはコマンドラインを介して、システムを中断することなく、パッチを元に戻したり削除したりできます。

機能アップデート

機能的なソフトウェアアップデートは、新しい機能をアクティブにするために適用されます。そのような機能強化の1つは、アプリケーション署名データベースの更新です。このパッケージは、テストとしてCiscoコントローラーにインストールされました。修正と同様に、機能の更新は、ダウンタイムやシステムの中断なしに適用、インストール、またはアンインストールされます。

完全な更新

現時点では、コントローラーソフトウェアイメージの完全な更新は、機能的なものと同じ方法で、つまりダウンタイムなしで実行されます。ただし、この機能は、複数のコントローラーが存在するクラスター構成でのみ使用できます。完全な更新は順番に実行されます。最初に1つのコントローラーで、次に2番目のコントローラーで実行されます。

新しいアクセスポイントモデルの追加

以前は使用済みのコントローラーソフトウェアイメージで操作されていなかった新しいアクセスポイントをワイヤレスネットワークに接続することは、特に大規模なネットワーク（空港、ホテル、生産施設）ではかなり頻繁な操作です。競合他社のソリューションでは、この操作でシステムソフトウェアを更新するか、コントローラーを再起動する必要があります。



新しいWi-Fi6アクセスポイントをCiscoCatalyst 9800シリーズコントローラークラスターに接続する場合、これらの問題は発生しません。コントローラへの新しいポイントの接続は、コントローラソフトウェアを更新せずに実行され、このプロセスは再起動を必要としないため、ワイヤレスネットワークに影響を与えることはありません。

コントローラの障害

テスト環境では、2つのWi-Fi 6コントローラー（アクティブ/スタンバイ）が使用され、アクセスポイントは両方のコントローラーに直接接続されています。



一方のワイヤレスコントローラーはアクティブで、もう一方はスタンバイです。アクティブなコントローラーに障害が発生すると、バックアップコントローラーが引き継ぎ、そのステータスがアクティブに変わります。この手順は、アクセスポイントとクライアントのWi-Fiを中断することなく実行されます。

安全性

このセクションでは、ワイヤレスネットワークで非常に重要なセキュリティの側面について説明します。ソリューションの安全性は、次の特性に従って評価されます。

• アプリケーションの認識;
• トラフィックフローの追跡（フロー追跡）;
• 暗号化されたトラフィックの分析。
• 侵入の検出と防止;
• 認証ツール;
• クライアントデバイス保護ツール。

アプリケーションの認識

エンタープライズおよび産業用Wi-Fi市場のさまざまな製品の中で、製品がアプリケーション間のトラフィックをどの程度適切に識別するかには違いがあります。さまざまなメーカーの製品は、さまざまな数のアプリケーションを識別できます。同時に、識別のために可能な限り競合ソリューションによって示されるアプリケーションの多くは、実際にはWebサイトであり、一意のアプリケーションではありません。



アプリケーション認識のもう1つの興味深い機能があります。ソリューションは、識別精度が大きく異なります。



実行されたすべてのテストを考慮すると、Cisco Wi-Fi-6ソリューションがアプリケーション認識を非常に正確に実行していることを責任を持って述べることができます。Jabber、Netflix、Dropbox、YouTube、その他の一般的なアプリケーション、およびWebサービスが正確に識別されました。また、Ciscoソリューションは、DPI（Deep Packet Inspection）を使用してデータパケットをさらに深く掘り下げることができます。

トラフィックフローの追跡

システムがデータストリーム（大きなファイルの移動など）を正確に追跡および報告できるかどうかを確認するために、別のテストが実行されました。これをテストするために、6.5メガバイトのファイルがファイル転送プロトコル（FTP）を使用してネットワーク経由で送信されました。



シスコのソリューションは任務を遂行し、NetFlowとそのハードウェア機能のおかげでこのトラフィックを追跡することができました。トラフィックは、転送された正確な量のデータですぐに検出および識別されました。

暗号化されたトラフィックの分析

ユーザーデータトラフィックはますます暗号化されています。これは、侵入者による追跡や傍受から保護するために行われます。しかし同時に、ハッカーはますます暗号化を使用してマルウェアを隠し、Man-in-the-Middle（MiTM）やキーロギング攻撃などの他の疑わしい操作を実行しています。



ほとんどの企業は、最初にファイアウォールまたは侵入防止システムを使用して暗号化されたトラフィックを復号化することにより、暗号化されたトラフィックの一部を検査します。ただし、このプロセスには時間がかかり、ネットワーク全体のパフォーマンスにはメリットがありません。さらに、復号化されると、このデータは詮索好きな目に脆弱になります。



Cisco Catalyst 9800シリーズコントローラは、他の方法で暗号化されたトラフィックを分析する問題を正常に解決します。このソリューションは、Encrypted Traffic Analytics（ETA）と呼ばれます。 ETAは、現在、競合ソリューションに類似したものがなく、暗号化されたトラフィック内のマルウェアを復号化せずに検出するテクノロジーです。 ETAは、拡張NetFlowを含む基本的なIOS-XE機能であり、高度な動作アルゴリズムを使用して、暗号化されたトラフィックに潜む悪意のあるトラフィックパターンを識別します。







ETAはメッセージを復号化しませんが、暗号化されたトラフィックストリームのメタデータプロファイル（パケットサイズ、パケット間の時間間隔など）を収集します。次に、メタデータはNetFlowv9レコードでCiscoStealthwatchにエクスポートされます。



Stealthwatchの重要な機能は、継続的なトラフィックの監視と、定期的なネットワークアクティビティのベースラインインジケータの作成です。 Stealthwatchは、ETAから送信された暗号化されたストリームメタデータを使用して、多層マシンラーニングを適用し、疑わしいイベントを示す可能性のあるトラフィックの動作異常を識別します。



昨年、CiscoはMiercomを採用して、Cisco Encrypted TrafficAnalyticsソリューションを独自に評価しました。この評価では、Miercomは、既知および未知の脅威（ウイルス、トロイの木馬、ランサムウェア）を、大規模なETAおよび非ETAネットワーク全体の暗号化されたトラフィックと暗号化されていないトラフィックで別々にディスパッチして脅威を特定しました。



テストのために、悪意のあるコードが両方のネットワークで起動されました。どちらの場合も、疑わしいアクティビティが徐々に検出されました。ETAネットワークは、最初に非ETAネットワークよりも36％速く脅威を検出しました。同時に、作業の過程で、ETAネットワークでの検出の生産性が向上し始めました。その結果、ETAネットワークで数時間運用した後、アクティブな脅威の3分の2が正常に検出されました。これは、非ETAネットワークの2倍です。



ETA機能はStealthwatchと十分に統合されています。脅威は重大度によってランク付けされ、詳細情報とともに表示され、確認された後の修正措置のオプションが表示されます。結論-ETAは機能します！

侵入の検出と防止

シスコには、ワイヤレスネットワーク用の脅威検出および防止エンジンであるCisco Advanced Wireless Intrusion Prevention System（aWIPS）という別の強力なセキュリティツールがあります。 AWIPSは、Cisco DNA Centerのコントローラー、アクセスポイント、および管理ソフトウェアで機能します。脅威の検出、警告、および防止のプロセスは、ネットワークトラフィック分析、ネットワークデバイスとネットワークのトポロジ情報、署名ベースの手法、および異常検出を組み合わせて、最終的に高精度とワイヤレス脅威の防止を実現します。



aWIPSをネットワークインフラストラクチャに完全に統合すると、有線ネットワークとワイヤレスネットワークの両方でワイヤレストラフィックを継続的に監視し、それを使用して多くのソースからの潜在的な攻撃を自動的に分析し、潜在的な攻撃を可能な限り包括的に特定して防止できます。

認証ツール

現時点では、従来の認証方法に加えて、Cisco Catalyst9800シリーズソリューションでWPA3サポートを利用できます。WPA3はWPAの最新バージョンであり、Wi-Fiネットワークに認証と暗号化を提供する一連のプロトコルとテクノロジーです。



WPA3は、Simultaneous Authentication of Equals（SAE）を使用して、サードパーティによるブルートフォース攻撃に対する最も安全なユーザー保護を提供します。クライアントがアクセスポイントに接続すると、SAE交換が実行されます。成功すると、それぞれが暗号的に強力なキーを作成し、そこからセッションキーを取得してから、確認状態になります。その後、セッションキーを生成する必要があるたびに、クライアントとアクセスポイントは確認応答状態になります。この方法では、攻撃者が1つのキーを解読できますが、他のすべてのキーを解読することはできないフォワードシークレットを使用します。



つまり、SAEは、トラフィックを傍受する攻撃者が、傍受したデータが役に立たなくなる前にパスワードを推測しようとする試みが1回だけになるように構築されています。長期的なパスワード推測を整理するには、アクセスポイントへの物理的なアクセスが必要になります。

クライアントデバイスの保護

今日のCiscoCatalyst 9800シリーズワイヤレスソリューションの主な顧客保護は、既知の脅威と新たな脅威の両方を自動的に検出するクラウドベースのDNSベースのネットワークセキュリティサービスであるCisco UmbrellaWLANです。



Cisco Umbrella WLANは、クライアントデバイスにインターネットへの安全な接続を提供します。これは、コンテンツフィルタリング、つまり、エンタープライズポリシーに従ってインターネット上のリソースへのアクセスをブロックすることによって実現されます。したがって、インターネット上のクライアントデバイスは、マルウェア、ランサムウェア、およびフィッシングから保護されます。ポリシーの適用は、継続的に更新される60のコンテンツカテゴリに基づいています。

オートメーション

最新のワイヤレスネットワークははるかに柔軟で複雑であるため、ワイヤレスコントローラーから情報を構成および取得する従来の方法では不十分です。ネットワーク管理者と情報セキュリティの専門家は、自動化および分析ツールを必要としています。これにより、ワイヤレスベンダーはそのようなツールを提供するようになります。



これらの課題に対処するために、Cisco Catalyst 9800シリーズワイヤレスコントローラーは、従来のAPIに加えてさらに別の次世代（YANG）データモデリング言語を備えたRESTCONF / NETCONFネットワーク構成プロトコルをサポートします。



NETCONFは、アプリケーションが情報を照会し、ワイヤレスコントローラーなどのネットワークデバイスの構成を変更するために使用できるXMLベースのプロトコルです。



これらの方法に加えて、Cisco Catalyst 9800シリーズコントローラは、NetFlowおよびsFlowを使用してフローデータを取得、フェッチ、および分析する機能を提供します。



セキュリティとトラフィックのモデリングでは、特定のフローを追跡する機能は貴重なツールです。この問題を解決するために、sFlowプロトコルが実装されました。これにより、100個ごとに2個のパケットをキャプチャできます。ただし、フローの分析および適切な調査と評価には、これでは不十分な場合があります。したがって、代替手段はCiscoによって実装されたNetFlowであり、これにより、さらに分析するために、指定されたストリーム内のすべてのパケットを100％収集およびエクスポートできます。



もう1つの機能は、コントローラーのハードウェア実装でのみ使用できますが、Cisco Catalyst 9800シリーズコントローラーのワイヤレスネットワークを自動化します。これは、ワイヤレスコントローラー自体でスクリプトを直接使用するためのアドオンとしての組み込みのPythonサポートです。



最後に、実績のあるSNMP v1、v2、およびv3は、Cisco Catalyst 9800シリーズコントローラーの監視および管理操作でサポートされています。



したがって、自動化の観点から、Cisco Catalyst 9800シリーズソリューションは、今日のビジネスニーズを完全に満たし、新しい独自のソリューションを提供します。あらゆるサイズと複雑さのワイヤレスネットワークでの自動操作と分析のための、実績のあるツール。

結論

Cisco Catalyst 9800シリーズコントローラに基づくソリューションにより、Ciscoは、高可用性、セキュリティ、および自動化のカテゴリで優れたパフォーマンスを発揮しました。



このソリューションは、計画外のイベント中の1秒未満のフェイルオーバーや、スケジュールされたイベントのゼロダウンタイムなど、すべての高可用性要件を完全に満たしています。



Cisco Catalyst 9800シリーズコントローラは、アプリケーションを認識および管理するための詳細なパケット検査、データストリームの完全な可視性、暗号化されたトラフィックに隠された脅威の識別、高度な認証およびクライアント保護メカニズムを提供する包括的なセキュリティを提供します。



運用の自動化と分析のために、Cisco Catalyst 9800シリーズは、一般的な標準モデル（YANG、NETCONF、RESTCONF、従来のAPI、および組み込みPythonスクリプト）を使用して強力です。



このように、シスコは、時代に対応し、現代のビジネスのすべての課題を考慮に入れて、ネットワークソリューションの世界有数のメーカーとしての地位を再び確認します。



Catalystファミリのスイッチの詳細については、 CiscoのWebサイトにアクセスしてください。