WLAN recommendations
Вы можете запустить режим запуска RRM из CLI, используя следующую команду: config 802.11a/b channel global restart
Режим запуска RRM работает в течение 100 минут (10 итераций с 10-минутными интервалами). Режим запуска состоит из 10 циклов DCA с высокой чувствительностью и отсутствием демпфирования (что делает переключение каналов простым и чувствительным к окружающей среде) для перехода к стационарному плану канала. После завершения режима запуска DCA продолжает работать с интервалом и чувствительностью, указанными организацией.
Обнаружение и исправление дыр в покрытии
Алгоритм обнаружения дыр в зоне покрытия RRM может обнаруживать зоны слабого радиопокрытия в WLAN, которые находятся ниже уровня, необходимого для надежной работы
радиосвязи. Эта функция может предупредить вас о необходимости дополнительной (или |
|
перемещенной) облегченной точки доступа. |
ly |
процент ошибочных пакетов и количество неудачных пакетов. Предупреждение указывает на наличие области, где клиенты постоянно испытывают плохое покрытие сигнала, не имея жизнеспособной точки доступа, на которую можно перемещаться. Контроллер различает дыры покрытия, которые можно и
Если клиенты на облегченной точке доступа обнаруживаются при пороговых уровнях, меньших, чем те, |
|
которые указаны в конфигурации RRM, точка доступа отправляет предупреждение «дыра в зоне |
|
покрытия» на контроллер. Пороговые значения включают RSSI, количество неудачных клиентов, |
|
w |
on |
нельзя исправить. Для дыр в покрытии, которые можно исправить, контроллер уменьшает дыру в покрытии, увеличивая уровень мощности передачи для этой конкретной точки доступа. Для клиентов,
которые принимают плохие |
решения о роуминге (так называемые «липкие клиенты»), алгоритм |
|
«покрытия дыр» сообщает о ложном положительном результате. Системаeпроверяет, чтобы убедиться, |
||
|
|
i |
что клиент лучше слышен на другой AP и не перемещается без необходимости по другой AP по |
||
произвольной причине. |
|
v |
|
|
|
Преимущества RRM |
e |
|
|
||
RRM создает сеть с оптимальной емкостью, производительностью и надежностью. Это |
||
|
r |
|
освобождает вас от необходимости постоянного мониторинга сети на предмет помех и помех, которые |
||
могут быть временными и их трудно устранить. RRM обеспечивает беспроблемное и бесперебойное |
||
соединение клиентов в унифицированной беспроводной сети Cisco. |
||
|
p |
|
ВЫБОР ДИАПАЗОНА |
- |
|
Большинство потребительских устройств, выпускаемых сегодня, работают в одном или обоих |
||
из двух диапазонов частот, или диапазонов. Двухдиапазонные устройства довольно распространены; |
||
однако полосы, поддерживаемые устройствами, не создаются одинаково. Свойства и количество частот, |
||
доступных для устройствFTс частотой 2,4 ГГц и 5 ГГц, существенно различаются: 5 ГГц имеют DRAдоступную полосу пропускания в 8 раз больше 2,4 ГГц. Тем не менее, физические свойства 2,4 ГГц
позволяют устройству быть услышанным намного дальше (в 1,5 раза), чем устройства с частотой 5 ГГц, работающие с тем же уровнем мощности.
Выбор диапазона позволяет идентифицировать двухдиапазонных клиентов и помогает устройствам принимать обоснованные решения о выборе диапазона частот и точки доступа. Система делает это, просто не отвечая на зонды 2,4 ГГц от клиента и немедленно отвечая клиенту, когда клиент использует зонды 5 ГГц. Такое поведение системы побуждает клиентов использовать доступную улучшенную полосу пропускания в 5 ГГц и увеличивает общую пропускную способность сети.
Организациям рекомендуется включить Band Select во всех средах.
ГИБКОЕ НАЗНАЧЕНИЕ РАДИОСВЯЗИ
Гибкое назначение радиосвязи (FRA) - это новая функция, которая использует преимущества выбора аппаратного обеспечения, доступного в точках доступа Cisco серии 2800/3800. Обратите внимание на обсуждение выбора диапазона, что существуют ограничения до 2,4 ГГц.
26
WLAN recommendations
Если вы развертываете точки доступа для оптимального покрытия и плотности 5 ГГц, у вас, скорее всего, будет чрезмерно высокая плотность радиостанций 2,4 ГГц и их ограниченный выбор каналов, что вызовет проблемы с помехами. FRA измеряет это и идентифицирует точки доступа, радиосвязь которых 2,4 ГГц может быть выборочно назначена на роль, которая оптимизирует использование радиочастотного спектра.
FRA сначала идентифицирует избыточные AP, а затем управляет сменой одного радиостанции XOR на другой диапазон. FRA полагается на аппаратное обеспечение, а также на существующий DCA для управления переключением ролей интерфейса. FRA также предлагает новую метрику, коэффициент перекрытия покрытия, которую администраторы могут использовать для ручного выбора и настройки избыточных радиостанций в рамках развертывания.
Для администратора кампуса, развертывающего модели Cisco 2800i/3800i, FRA в автоматическом режиме очень консервативна и прекрасно справится с обеспечением достаточной плотности покрытия,
не доводя его до уровней, когда помехи снова становятся проблемой. |
ly |
|
Для тех, кто развертывает модели Cisco 2800i / 3800i, рекомендуется оставить точки доступа в авто-FRA |
||
и включить авто-FRA из GUI. |
on |
|
CISCO CLIENTLINK |
||
|
||
Технология беспроводных сетей Cisco ClientLink использует формирование луча для улучшения
отношения сигнал/шум для всех беспроводных клиентов и не ограничивается теми, которые |
||
|
i |
|
поддерживают стандарт 802.11n (который имеет минимальное внедрение для клиентов) или стандарт |
||
802.11ac. |
v |
w |
Все точки доступа Cisco 2800 Series и 3800 поддерживают C sco Cli ntLink, которая автоматически |
||
включается и обеспечивает более высокое воспринимаемое отношениеeсигнал/шум для всех клиентов |
||
(даже устаревшие 802.11a, b, g). В результате сеть обеспечивает более высокую скорость передачи
|
r |
данных и эффективность эфирного времени. Короче говоря, общение происходит быстрее, поэтому для |
|
всех доступно больше времени. |
p |
ClientLink - это инновация Cisco, доступная с 2010 года для повышения надежности сетей 802.11. |
|
Реализация ClientLink является уникальной, посколькуeне требует поддержки на стороне клиента, а это |
|
означает, что она не полагается на то, что производитель клиента будет реализовывать что-либо для достижения преимуществ ClientLink.-
Клиентский стандарт был введен для формирования луча с 802.11n; однако, стандарт никогда не был широко реализован на рынке. В стандарте 802.11ac формирование луча на стороне клиента является требованием, котороеFTхорошо поддерживается, но только для новейших сертифицированных клиентов. ClientLink устраняет пробел в поддержке и позволяет всем клиентам видеть преимущества в производительности.
ДИНАМИЧЕСКИЙ ВЫБОР ДИАПАЗОНА - DBS
DRAС появлением 802.11n, а затем с 802.11ac Wave 1 и Wave 2 у вас есть возможность использовать несколько каналов вместе в качестве одного назначения для данной точки доступа. Это увеличивает количество полосы пропускания, доступной для данного канала, и улучшает пропускную способность и кажущуюся скорость, воспринимаемую клиентом. Однако, чтобы использовать эти объединенные каналы, точка доступа и клиент должны поддерживать эту возможность, что невозможно для клиентов 802.11n. Клиенты с ограниченным набором функций и почти все смартфоны 802.11n ограничены шириной канала 20 МГц; в то время как клиент 802.11ac должен поддерживать ширину канала до 80 МГц для своей сертификации.
Клиентами в большинстве современных сетей в основном являются устройства 802.11n, а также некоторые клиенты 802.11ac. Ожидается, что такая смешанная среда будет распространена еще некоторое время на рынке.
Соединение каналов - использование нескольких отдельных каналов для создания одного суперканала - имеет преимущество в том, что обеспечивает более полезную пропускную способность для клиента с возможностью использования канала. Однако при использовании нескольких каналов для создания одного канала расходуются более крупные фрагменты спектра, что уменьшает общее количество
27
WLAN recommendations
каналов без помех для использования с DCA. Это может привести к агрессивному повторному использованию канала, если имеется достаточно точек доступа (каждая требует рабочего канала) и повышенным помехам в совмещенном канале (полная противоположность эффективности).
Динамический выбор пропускной способности работает с алгоритмом DCA для мониторинга точек доступа, а также типов и возможностей клиентов с использованием точек доступа. Основываясь на этом анализе, DBS назначает соответствующие ширины канала AP, чтобы динамически сбалансировать выбор полосы пропускания для типов клиентов и трафика, который использует каждый AP.
клиентов, избегать потери нескольких каналов для устройств, которые, вероятно, не могут использовать добавленную емкость, и избегать связанных помех, создаваемых этими устройствами. По этим
DBS позволяет использовать пропускную способность подходящего размера для обслуживаемыхly
причинам DCA должна запускаться в режиме DBS. |
on |
|
Cisco CleanAir - это решение для анализа спектра, разработанное для упреждающего управления помехами, не связанными с Wi-Fi, которое также работает в спектрах 2,4 и 5 ГГц. Многие потребительские устройства также используют те же частоты, что и в 802.11 Wi-Fi. Такие устройства, как Bluetooth-гарнитуры, микроволновые печи и многие новые устройства IoT, используют разные протоколы, но занимают те же частоты, которые необходимы для работы WLAN.
Cisco CleanAir - это инновация, доступная только при реализации в кремнии точек доступа с |
||
|
i |
|
поддержкой CleanAir. CleanAir посвящен обнаружению и идентификации источников помех, которые в |
||
противном случае были бы просто шумом для чипсета Wi-Fi. |
|
w |
v |
|
|
Все точки доступа Cisco серии 2800 и 3800 включают набор микросхем Cl anAir. Технология была |
||
выпущена в 2010 году и постоянно адаптировалась, чтобы идтиeв ногу с рынком и меняющимся |
||
характером спектра WLAN. CleanAir контролирует полную полосу пропускания канала AP с
|
|
r |
поддержкой CleanAir независимо от требований развертывания и, как следствие, контролирует диапазон |
||
каналов от 20 МГц до 160 МГц. |
p |
|
CleanAir может сообщать об анализе и результатах через контроллер WLAN. Вы можете использовать |
||
определенные реализации CMX и Cisco Prime, чтобыeотобразить как помехи, так и влияние помехи для |
||
упрощения анализа и устранения неполадок. |
|
|
|
- |
|
На уровне контроллера вы можете использовать две стратегии смягчения, чтобы помочь поддерживать |
||
вашу сеть и предотвратить сбои, связанные с распространенными источниками помех, отличными от
Wi-Fi:
● УстранениеFTпостоянных помех - позволяет WLC отслеживать и сообщать источники помех, отличные от Wi-Fi, в DCA. Например, может быть микроволновая печь, которая становится достаточно активной каждый день после обеда. Функция предотвращения постоянных помех запоминает это устройство и инструктирует DCA выбирать каналы для затронутых точек доступа, которым не будет мешать этот источник периодических помех.
DRA● ED-RRM - помогает смягчить сбои от источников помех (например, видеокамеры), которые используют 100% доступного эфирного времени при включении. Поскольку эти помехи не распознаются как что-либо, кроме шума для набора микросхем 802.11, все клиенты и точки доступа обычно ждут, когда канал станет менее занятым. ED-RRM обеспечивает безопасность, выполняя две вещи:
○ Признание того, что что-то не является шумом, а преднамеренно передает и мешает работе сети;
○ Вынудить точку доступа от проблемного канала к каналу, где операции могут возобновиться. Разрешение действует очень быстро (30 секунд или меньше), и информация о помехах включается в RRM через DCA, предупреждая DCA о нарушениях помех, связанных с только что оставленным каналом.
Рекомендуется включить CleanAir, предотвращение постоянных устройств и ED-RRM.
SECURE WLANS
28
WLAN recommendations
Беспроводные устройства должны по возможности безопасно подключаться к сетевой инфраструктуре. В корпоративной среде необходимо настроить WLAN для поддержки WPA2 с шифрованием AES-CCMP и аутентификацией устройств 802.1x. Это иногда упоминается как WPA Enterprise на беспроводных устройствах. Большинство современных беспроводных устройств поддерживают WPA2. Использование более старых методов безопасности, таких как WEP или WPA, не рекомендуется из-за известных уязвимостей безопасности. Для аутентификации 802.1x требуется сервер AAA, например Cisco ISE, который обеспечивает централизованное управление и контроль на основе
политик для конечных пользователей, имеющих доступ к беспроводной сети. |
ly |
|
Обычно сервер AAA будет реализовывать протокол RADIUS между собой и WLC. Аутентификация конечных пользователей осуществляется через сеанс расширяемого протокола аутентификации (EAP) между беспроводным устройством и сервером AAA. Сеанс EAP транспортируется через RADIUS между WLC и сервером AAA. В зависимости от возможностей беспроводного устройства, возможностей сервера AAA и требований безопасности организации могут быть реализованы несколько вариантов EAP, таких как PEAP и EAP-TLS. PEAP использует стандартные учетные данные пользователя (идентификатор пользователя и пароль) для аутентификации. EAP-TLS использует цифровые
сертификаты для аутентификации. |
|
w |
|
|
|
Настоятельно рекомендуется развернуть избыточные серверы AAA для обеспечения высокой |
||
доступности на случай, если один или несколько серверов станут временно недоступныon. Часто сервер |
||
|
e |
|
AAA настроен на обращение к внешнему каталогу или хранилищу данных, такому как Microsoft Active |
||
|
i |
|
Directory (AD). Это позволяет сетевому администратору использовать существующие учетные данные AD вместо дублирования их на сервере AAA. Это также может быть расширено для обеспечения
контроля доступа на основе ролей (RBAC) для конечныхvпользователей посредством использования групп AD. Например, может быть желательно предоставить ограниченный доступ к сети для долгосрочных подрядчиков, в отличие от доступа, предоставленного сотрудникам. Использование
re ресурсам в организации. Сам сервер AAApможет применять дополнительные правила на основе политик
внешнего каталога или хранилища данных также может предоставить единую точку для предоставления или отзыва учетных данных не только для доступа к сетевой инфраструктуре, но и для доступа к другим
для авторизации в сети, такие как тип устройства, время суток, местоположение и т.д., в зависимости от возможностей сервера AAA. Журналы и учет AAA могут использоваться для предоставления контрольного журнала доступа каждого-сотрудника к инфраструктуре беспроводной сети.
Использование WPA2 с шифрованием AES CCMP в WLAN не распространяется на кадры управления. Следовательно, необязательное использование защищенных кадров управления (PMF) рекомендуется для сетей WLAN, FTгде это возможно. PMF является частью стандарта IEEE 802.11, который обеспечивает уровень криптографической защиты для надежных кадров управления, таких как кадры де- аутентификации и диссоциации, предотвращая их подделку. Следует отметить, что преимущества PMF требуют беспроводных клиентов для поддержки PMF. Cisco также предлагает более раннюю версию Management rame Protection (MFP), которая имеет инфраструктуру и клиентские компоненты.
DRAВ среде домашнего офиса может потребоваться настроить WLAN для поддержки WPA2 с предварительным общим ключом (PSK). Иногда это называется WPA Personal на беспроводных устройствах. Это может быть необходимо, поскольку реализация сервера AAA не является экономически эффективной для числа конечных пользователей, которые получают доступ к WLAN. Это также может быть необходимо в других средах, если конечный пользователь не связан с беспроводным устройством, беспроводное устройство не поддерживает возможность настройки идентификатора пользователя и пароля или беспроводное устройство не может поддерживать цифровой сертификат. Поскольку PSK является общим для всех устройств, которые обращаются к беспроводной инфраструктуре, может потребоваться изменить PSK, если сотрудник, который знает PSK, покидает организацию. Кроме того, благодаря WPA PSK не существует простого аудита доступа каждого сотрудника к сети.
Использование выделенного открытого WLAN по-прежнему распространено, но не идеально, для беспроводного гостевого доступа. Следовательно, конфигурация незащищенного WLAN в сетевой инфраструктуре все еще может быть необходима. Гостевые WLAN с открытым доступом часто реализуются для того, чтобы минимизировать сложность подключения гостя, которому требуется только
29
WLAN recommendations
временное подключение к беспроводной сети. Как правило, гостевой WLAN завершается за пределами корпоративного брандмауэра, который не допускает доступа к корпоративным ресурсам, поэтому гостям может быть разрешен только доступ к Интернету. В зависимости от требований организации, гости могут быть обязаны пройти проверку подлинности, прежде чем им будет разрешен доступ в Интернет. Как правило, модель портала авторизации используется с WebAuth, в котором сеансы гостевого веб- сайта перенаправляются на портал, который аутентифицирует гостя, прежде чем разрешить доступ в Интернет.
реализовать административный контроль доступа через локальную пользовательскую базу данныхlyв каждом устройстве инфраструктуры или через централизованный сервер AAA, такой как Cisco ISE.
Административный контроль доступа
Рекомендуется реализовать безопасный административный контроль доступа к компонентам
администратора была уникальная учетная запись. Общая учетная запись администратораonограничивает возможность аудита того, кто получил доступ к определенному сетевому устройству и, возможно, внес
беспроводной инфраструктуры, чтобы избежать несанкционированного доступа. Обычно вы можете
Для небольшого числа устройств сетевой инфраструктуры настройка отдельных учетных записей
локальных администраторов на каждом устройстве инфраструктуры может быть приемлемой.
административный доступ должен быть немедленно отменен. В случаеwотдельных учетных записей администратора необходимо отозвать только учетную запись для конкретного сотрудника.
Рекомендуется, чтобы количество администраторов было ограничено, и чтобы у каждого
По мере роста количества устройств инфраструктуры в сетиiадминистративнаяe нагрузка по настройке
изменения конфигурации Когда сотрудники покидают организацию или переходят в другие группы, их
стать неуправляемой. Поэтому рекомендуется контролироватьvадминистративный доступ через сервер AAA, который обеспечивает централизованное управление и контроль на основе политик. Рекомендуется развернуть избыточные серверы AAA для обеспечения высокой доступности на случай,
отдельных учетных записей локальных администраторов на каждом устройстве инфраструктуры может
если один или несколько серверов станут временно недоступны. Сетевые администраторы могут по- |
|
прежнему настраивать отдельную учетную записьeлокального администратора на каждом устройстве |
|
|
r |
инфраструктуры для локального доступа через консольный порт, если весь сетевой доступ к устройству |
|
инфраструктуры будет потерян. |
|
Сервер ААА может сам ссылаться на внешний каталог или хранилище данных, такое как AD. Это |
|
|
p |
|
- |
позволяет сетевому администратору использовать существующие учетные данные AD вместо дублирования их FTна сервере AAA. Это также может быть расширено, чтобы обеспечить RBAC для администраторов посредством использования групп AD. Использование внешнего каталога или
хранилища данных также может предоставить единую точку для предоставления или отзыва учетных данных не только для административного контроля доступа к нескольким устройствам инфраструктуры, но и для доступа к другим ресурсам в организации.
DRAТам, где это возможно, следует выбирать надежный пароль, состоящий из минимальной длины и комбинации букв, цифр и/или специальных символов. Там, где это возможно, также должно
применяться максимальное количество неудачных попыток доступа к устройству до отключения учетной записи на определенный период времени. Успешные и неудачные попытки должны регистрироваться либо локально, либо на центральном сервере регистрации. Это помогает смягчить (и/или предупредить соответствующих сотрудников сетевых операций) попытки перебора получить доступ к устройствам инфраструктуры. Если поддерживается несколько уровней административного доступа, рекомендуется применять их с минимальным уровнем доступа, необходимым администраторам для выполнения соответствующих задач. Также рекомендуется ограничить количество одновременных входов в систему от одного имени пользователя.
Может быть выгодно ограничить, откуда инициируется доступ к устройству беспроводной инфраструктуры и какие протоколы разрешены. Это можно осуществить несколькими способами. Например, можно развернуть интерфейс управления контроллеров WLAN в отдельной VLAN (и, следовательно, в отдельной IP-подсети) из трафика беспроводного клиента. В таком развертывании список контроля доступа (ACL), развернутый на коммутаторе уровня 3, смежном с контроллером
30