Trapeze WLAN-Lösung

Enterprise WLAN mit Trapeze Networks

Volker Natemeyer

Systems Engineer

[email protected]

http://it-services.netlogix.de/

Trapeze Networks, A BELDEN Brand | Proprietary and Confidential | 01/13/09 Slide

Trapeze Networks

• Gegründet März 2002

• Headquarter in Pleasanton, CA

• EMEA-Zentrale in Hilversum/NL

• 250+ Mitarbeiter

• Focus ausschliesslich WLAN

• Mehr als 40 WLAN Patente

• Über 2500 Kunden weltweit

• Über 800 Kunden in Zentraleuropa

Seit Juni 2008 Teil von Belden inc.

- 8.000 Mitarbeiter im Konzern

- 2 Mrd. Dollar Umsatz

- Spezialist für Kabel und Signalisierung

Hirschmann Automation gehört seit

Mai 2007 zu Belden

- Spezialist für Industrial Ethernet

Steckverbinder-Systeme

• Übernahme durch Trapeze im

Dezember 2008

• RTLS – LBS Experten

Trapeze Kunden in Deutschland

Stadt Pforzheim

http://www.ebs.de/

http://www.uni-karlsruhe.de/

http://www.aok.de/

http://www.heidelberg.de/

http://www.rossman.de/

http://www.man.de/

http://www.bhtcgroup.de/

http://www.linde.com/

http://www.logitech.ch/

http://www.waz.de/

http://www.iitb.fraunhofer.de/

http://www.caritas.de/

http://www.fresenius-ag.com/

Planung – Deployment – Management

RingMaster™

Sicherheit – Integration – Skalierbarkeit

Mobility System Software

Mobility Exchange

Die Elemente des Smart Mobile

Mobility Points

Trapeze Networks: Pionier bei den

Kontroller basierten WLAN Lösungen

WLAN als Overlay Netzwerk

• Ermöglicht unterbrechungsfreies Roaming unabängig von

bestehender Netzwerkstrukur

• Vlan

• IP Bereiche

• Definierte „Übergabepunkte“ der WLAN Daten in das

bestehende Netzwerk: L2 Ansatz

• LAN Ports am Kontroller

• Controller als L2 „Bridge“ zwischen WLAN und VLAN

• Zentrales Management

• Jegliche Konfiguration der Wlan Dienste und der APs nur über

Kontroller

SmartMobile Architektur

• Abdeckung unterschiedlicher Benutzeranforderungen

• Sicherheitanforderungen für verschiedene Nutzergruppen

• Interne WLAN Nutzer, Contractor, Besucher, ...

• Roaming

• Identische Netzwerkumgebung für den einzelnen Nutzer,

unabhängig vom Ort

• Ausfallsicherheit „Always On“

• Einfache Implementierung und Betrieb großer Netze

• Zentrale Verwaltung

• Minimierung der Eingriffe in die LAN und Security

Architektur

• Vlan, Firewall, L3 Struktur ....

• Gute Skalierbarkeit

• Anzahl der Kontroller und APs

• Erweiterbarkeit

• Virtualisierung (Clustering der Controller)

Mapping von

Benutzern auf

Vlans

RingMaster

ManagementOberfläche

Controller-Ansatz: Zentrale Kontrolle

und Konfiguration der APs

L2/L3 Netzwerk

• Control-Tunnel zwischen AP und Controller (MX)

• Kontroller als zentrale Stelle für die Konfiguation

• Auf dem Kontroller werden die Wireless Netze und die APs konfiguriert

• Viele Funktionen dezentral: De/Encryption; ALCs, QoS Handling

• AP Controller Redundanz

• Individuelle Konfiguration eines AP wird auf einem Backup Kontroller vorgehalten

• Manuell oder automatisch im Cluster Mode (später mehr)

• Konfiguration auf Kontroller und RingMaster (Management SW)

• Auch die Konfig Daten liegen physikalisch sowohl auf dem Kontroller als auch im

RingMaster

Smart Mobile Architektur:

Benutzer - Handling

L2/L3 Netzwerk

User Mapping auf Vlan

• Unterschiedliche Vlans möglich, auch wenn User mit einer

SSID verbunden sind

• Mapping konfigurierbar per SSID, per User oder User-

Group

Vlan_20

Vlan_10

Client für Vlan_20

Client für Vlan_10

Smart Mobile Architektur:

Datenfluss

L2/L3 Netzwerk

Optionen für den Client-Traffic:

• Daten Tunnel zw. AP und Controller oder

• Local Switching: Vlan Break-Out am AP

• Einstellbar pro individuellem AP

• Vlan muss am AP anliegen (tagged oder untagged)

Vlan_10

TAPA Daten-

Tunnel Local

Switching

AP -> Vlan

Einsatz mehrerer Controller:

Dynamische Vlan Tunnel

Option, falls „Ziel Vlan“ am Controller nicht anliegt:

Dyn. Daten-Tunnel zum Ziel-Controller, an dem das Vlan

konfiguriert ist

Vlan_10Vlan_extern

L2/L3 Netzwerk

TAPA Daten-

Tunnel

Client für

Vlan_extern

DMZ

Mobility Domain, Netzwerk Domain

Mobility Domain:

Umfasst alle Kontroller eines Standortes

Seamless Roaming zwischen allen APs / Kontrollern

Austausch von User/Session Daten sowie Vlan-Informationen

Bis zu 64 Kontroller je Mobility Domain

Manuelle Konfiguration des Backup-Kontrollers

Network Domain:

Mehrere Mobility Domains, die räumlich getrennt sind, können zu

einer Network Domain zusammengefasst werden

Austausch von Vlan-Informationen

Mapping User-zu-Vlan auch zwischen Standorten

Bis zu 500 Kontroller je Network Domain

Cluster: MX Virtualisierung

• Cluster bietet single-Point-of-Configuration für die APs und Wlan

Services

• Hitless Failover der APs bei MX Ausfall, Client Session bleibt bestehen

• Konfiguration auf Mobility Domain Seed MX

• Primary Seed MX wird Cluster Seed

• Secondary Seed MX wird Secondary Cluster Seed

• Alle Controller der Domain werden dem Cluster zugefügt

• Max. 64 MXs und 4096 distributed APs innerhalb des Clusters*

• Automatische Verteilung der Konfigs aller APs innerhalb des Clusters

• AP configs, Radio Profiles, Service Profiles, Vlan profiles, ACLs

*) mit MX-2800 als Cluster Seed

Controller 1 :Konfig

System Konfig 1

Wireless Konfig

AAA Konfig 1

Controller 2 :Konfig

System Konfig 2

Wireless Konfig

AAA Konfig 2

Cluster Konfig

Wireless Konfig

AAA Konfig (Radius, Access Rules)

System Konfig 1AAA Konfig 1 (local

user database)

System Konfig 2AAA Konfig 2

(local user database)

Bem.: Mit SW 7.1 (Dez.09) ist die AAA

Konfig auch Teil der Cluster Konfg

Cluster Details

• Im Cluster wird jedem AP ein primärer (PAM) und ein

sekundärer Kontroller (SAM) zugewiesen

• Der AP baut einen TAPA Control-Tunnel zum PAM und

zum SAM auf

• Beide Kontroller kennen den aktuellen Zustand des AP

• Der TAPA Datentunnel geht zum PAM

• Im Failover-Fall schwenkt der AP den TAPA Datentunnel

zum SAM um

• Nach 150 msec geht der normale Datenverkehr ohne weitere

Störungen weiter

• Für die Clients ist der Schwenk nicht bemerkbar

Cluster Konfig:: AP Load Balancing

innerhalb des Clusters

• AP Load Balancing: APs werden automatisch auf einzelne

Clustermember verteilt

• Primary AP Manager (PAM), Secondary AP Manager (SAM)

• Abhängig von Kapazität und Lizenzen

• Dynamische Re-Distribution nach Änderung der MX-Anzahl

• Die maximale Anzahl der APs innerhalb des Clusters ist

beschränkt auf die maximale Anzahl der konfigurierbaren

APs auf dem Cluster Seed

• Max 4096 APs mit MX-2800

Erhebliche Minimierung des Konfig-Aufwandes


9 Gründe für die Trapeze Lösung

• Skalierbar von 4 bis zu tausenden

MPs

• Ein Mangement für alle Systeme

• Alle Kontroller beliebig kombinierbar

• Identischer Feature Set über alle

Kontroller

• Auch alte Kontroller unterstützen

802.11n

1. Höchste Skalierbarkeit und Investitionsschutz

Die Mobility Exchange™ Gerätefamilie

Skalierbarkeit

MX-216R

32-192 MPs

16 FastEthernet (10/100) PoE

2xGE(SFP)

FIPS 140-2

MX-8R

12 MPs

PoE, 8 FastEthernet (10/100)MXR-2

4 MPs

PoE, 2 FastEthernet (10/100)

Aussenstellen Distribution / Unterverteilungen Rechenzentren

Pe

rfo

rman

ce

MX-200R

32-192 MPs

2xGE (SFP)

FIPS 140-2

MX-2800

64-512 .11n MPs

2x10GE (XFP)

8xGE (SFP, RJ45)

FIPS 140-2

Skalierbarkeit

RingMaster Appliance RM-200

Turnkey Lösung – Hardware, OS, Plattform Tools und Applikation

Software im Bundle

Bis zu 1000 Controller oder 5000 APs

RingMaster SW

bis zu 100 Controller oder 1000 Aps

RingMaster Global

Verwaltet bis zu 20 verteilte RingMaster Server, 20.000 Controller

oder100,000 APs

1

9


Skalierbarkeit und Investitionsschutz

Security Management

Reliability Performance

Security Management

Reliability Performance




2. Flexible Lastverteilung und Kapazitätsmanagement

3.

4.

5.

6.

7.

8.

9.


AP Lastverteilung und “Band Steering”

• Most Wi-Fi devices default to 2.4Ghz (better range)

• Increases contention for spectrum, while 5Ghz virtually unused

• We steer 5Ghz-capable clients (802.11a/n) to 5Ghz

• Completely transparent - No duplication of SSID, VLAN required

• 30-40% better bandwidth utilization with no cost

• Load share Clients between groups of APs

802.11b/g 802.11a




2. Überragende Lastverteilung und Kapazitätsmanagement

3. Komfortabler Gast Zugriff - SmartPass

4.

5.

6.

7.

8.

9.

Smart Pass

Gast Account Management

Ausdruck von Vochers mit

Username / Password

Verschiedene User-Typen

konfiguriertbar

Datums und Zeit abhängiger

Zugang

Bandbreite / Volumenbegrenzung

Lokation

Dynamische De-

authentisierung

2

4

Anlegen eines Gast Templates

Example: Contractor that will be on your premises some days, over the next 3 weeks.

SmartPass can restrict access to only the days and hours contractor is on campus.

Other vendors only control total duration…allowing access 24/7 for the entire period.






4. Beste Architektur für zuverlässige Voice-Anwendungen in

Festnetzqualität

5.

6.

7.

8.

9.


Smart Mobile - Seamless Mobility

Controller A Controller B

Subnet 1 Subnet 2

Optimale Architektur für WLAN-Telefonie

• Abhängigkeit vom “Home” Controller

• Unnötige Round-Trips durchs Netzwerk

• Keine Kenntnis über Client-Roaming

• Nicht imun gegen Controller Ausfall

• Timeouts und Callabbrüche möglich

Controller A Controller B

Anchored Mobility – Basic Roaming

• Unabhängig vom “Home” Controller

• Optimierter Datenfluss durch die Infrastruktur

• Kenntnis im Voraus über Client-Roaming

• Höchste Verfügbarkeit in der Infrastruktur

• Festnetzqualität ohne Abbrüche

Client A on

Subnet 1

Client B on

Subnet 1

Subnet 1 Subnet 2

Client A on

Subnet 1

Client B on

Subnet 1

Mobility

Domain

A A


Optimale Architektur für WLAN-Telefonie

Beste Voice Performance Getestet wurden Cisco, Siemens, Aruba,

Trapeze im Dezember 2007

Trapeze hat als einziger in allen Bereichen

ein “gut” erhalten







Festnetzqualität

5. Identisches Managementmodell Indoor und Outdoor

6.

7.

8.

9. .


Self-Optimizing, Self-Healing Mesh

• Verschiedene Mesh-Pfade möglich

• AP wählt besten Pfad zum Mesh-Portal

• Mesh Portale bieten Mesh Service an

• “Station Switching Records” werden im

Netz announciert

• Mesh Portal steuert Firewallregeln und

Policies

• Selbstheilung im Falle eines blockierten

Pfades

• “Station Switching Records” werden neu

announciert

Indoor / Outdoor Access Points

MP-422

Indoor

2 Radio

a/b/g

Mesh and

Bridging

MP-432

Indoor

2 Radio

3*3 MIMO

a/b/g/n

Mesh and

Bridging

MP-620

Outdoor

2 Radio

a/b/g

Mesh and

Bridging

MP-82

Indoor

2 Radio

2*3 MIMO

a/b/g/n

Mesh and

Bridging

MP-632

Outdoor

2 Radio

3*3 MIMO

a/b/g/n

Mesh and

Bridging







Festnetzqualität


6. Höchste Verfügbarkeit, Non-Stop Infrastruktur

7.

8.

9.

Smart Mobile Clustered Switching

Today’s Limited Approach

Unabhängige Switche agieren ohne direkte

Verbindung

Hot Stand-by Back-

up Switch

Switch A Switch B Switch C

Smart Mobile – Clustered Approach

Skaliert nicht optimal

Eingeschränkte Hochverfügbarkeit – APs

werden statisch auf Controller gemappt

Eingeschränkte Redundanz – N+1 (Abhängig

von der Anzahl bereitgestellter Backup-MX)

Management anspruchsvoller, hohe “Cost of

ownership”

Geclusterte Switche agieren kollektiv wie ein virtueller Controller

Optimalie Skalierbarkeit – Resourcen können

dynamisch hinzugefügt werden

Höchste Verfügbarkeit – APs werden

automatisch gemappt und dynamisch

umverteilt wenn nötigAlways-on Redundanz – Jeder Switch kann als

Backup fungieren

Einfaches Management, single point of configuraton niedrigste “Cost of ownership”




2. Lastverteilung und Kapazitätsmanagement



Festnetzqualität



7. Führende Wireless IDS/IPS mit dynamischen

Gegenmaßnahmen

8.

9.


Strong

Encryption

Trapeze Multi-Tiered WLAN Security

AAA

Servers Rogue AP

Trusted Client

X

X

Verschlüsselung

• 802.1X, EAP-TLS, PEAP, TTLS, MAC, Web, ...

• 802.11i, WPA2, WPA, AES, CCMP …

Endgerätekontrolle

• Trusted Network Connect (Trusted Computing Group)

• Microsoft Network Access Protection (NAP)

• Juniper Networks Unified Access Control (UAC)

Angreifer Abwehr

• Core WIDS/WIPS

• Scan, detect, locate, disable Rogues

• Automatically classify and disable Rogues

• Location aware access control

• Dynamic Authorization changes

Untrusted Client

802.1X

Authentication

RingMaster

Web Portal with

Integrity Check

Intrusion

Detection &

Protection

Firewall

• Application-aware QoS scheduling, location and security filtering

• Time and location based access control

SmartPass

LA-200

Untrusted Client

Web Portal with Location

Check

Rogue User

Application

Firewall

IDS/IPS Erkannte Angriffe

• Rogue access points

• Interfering access points

• Rogue 802.11 clients

• Interfering 802.11 clients

• 802.11 adhoc clients

• Unknown 802.11 clients

• Interfering 802.11 clients on wired LAN

• 802.11 probe request flood

• 802.11 authentication flood

• 802.11 null data flood

• 802.11 mgmt type 6 flood

• 802.11 mgmt type 7 flood

• 802.11 mgmt type d flood

• 802.11 mgmt type e flood

• 802.11 mgmt type f flood

• 802.11 association flood

• 802.11 reassociation flood

• 802.11 disassociation flood

• Weak wep initialization vectors

• Spoofed access point mac-address attacks

• Spoofed client mac-address attacks

• Ssid masquerade attacks

• Spoofed deauthentication attacks

• Spoofed disassociation attacks

• Null probe responses

• Broadcast deauthentications

• FakeAP ssid attacks

• FakeAP bssid attacks

• Netstumbler clients

• Wellenreiter clients

• Active scans

• Wireless bridge frames

• Adhoc client frames

• Access points present in attack-list

• Access points not present in ssid-list

• Access points not present in vendor-list

• Clients not present in vendor-list

• Clients added to automatic black-list


Führendes wireless IDS/IPS

Führend bei WLAN Sicherheit

Studie über die Top 11 WLAN Anbieter

Trapeze auf Platz #1

Unabhängige Studie*20-seitiger Bericht verfügbar

http://www.abiresearch.com/home.jsp







Festnetzqualität




Gegenmaßnahmen

8. Fortschrittlichstes RF Planungstool und WLAN-

Management

9. .

RingMaster™

Eine Applikation für komplette Lebensdauer Benutzer- und Rechteverwaltung

Client-Server Konzept

Win, Linux, Mac OS X

RingMaster Bestandteile Komplette Simulation und HF-

Planung

Konfigurationsmanagement

Monitoring Display

Reporterstellung

Integration und AutomatisierungVermeiden von

Konfigurationsfehlern

Schnellere Erkennung von Problemen

Effizientere Planung

40

Zentrales Lifecycle Management

• Planen kompletter Gebäude

• Bestimmt Anzahl und Ort benötigter Access Points

• Manuelle Korrekturen und Verdichtungen möglich

• Erstellt Ausleuchtung und Arbeitsauftrag

Integrierte

WLAN-Planung

Netzwerkweite

Konfiguration

Umfangreiches

Monitoring

Kontinuierliche

Überwachung der

Performance und

Optimierung

43

Zentrales Lifecycle Management

• Dashboard-Ansicht

• Fehler- und Alarmzuordnung

• Detailansichte

• Anpassbare Reports

• bis zu 30 Tage History

Integrierte

WLAN-Planung

Netzwerkweite

Konfiguration

Umfangreiches

Monitoring

Kontinuierliche

Überwachung der

Performance und

Optimierung




2. Lastverteilung und Kapazitätsmanagement



Festnetzqualität




Gegenmaßnahmen

8. Fortschrittlichstes RF Planungstool und WLAN-

Management

9. Integration von RTLBS Real Time Location based

Services


Trapeze Location Appliance™

Lokalisierungsserver sammelt und wertet die RSSI Daten aller Clients aus, die

von den APs gesendet werden

Raumgenaue Ortung durch Vergleich mit vorher genommenen RSSI Fingerprints

der Räume

Überwachung von IEEE 802.11 Geräten OHNE spezielle Clientsoftware

RFID- Tags, WLAN-Telefone, PDAs, Laptops

Hohe Präzision (99 % Raumgenau)

Geringe Verzögerung (“fast” in Echtzeit: 20 bis 60 sec)

Hohe Skalierbarkeit (Überwachung von 1000en Geräten gleichzeitig)


Anwendungen

• Häufige Anwendungsfälle• Monitoring – Endgeräte und Rogue

Monitorung und Auditing

– Branchen: Unternehmen, Universitäten

• Location based access control – “RF

Firewall” w/ “grey” access

– Branchen: Unternehmen, Universitäten

• Asset Tracking – Ortung wertvoller

Assets verbessert Prozesse

– Branchen: Krankenhaus, Hotels

• Location Based Content Delivery –

Kontextabhängige Datenzugriffe je nach

Aufenthaltsort des Users

– Branchen: Krankenhaus, Museums /

Messen


Die Komplettlösung – RF Firewall

• Location based access

control application

(SmartPass)• Verwaltung von Regeln zur

Steuerung des Userzugriffes

basierend auf Ort,

Datentransfer, Username,

SSID, etc..

• Möglichkeit von “allow” und

“deny” Regeln basierend auf

dem Aufenthaltsort des Users

Vielen Dank!

Trapeze WLAN-Lösung

Technology

Transcript of Trapeze WLAN-Lösung