0 © trapeze networks 2006 | proprietary and confidential | june 18, 2014 chapter 4: arquitetura...
TRANSCRIPT
1
© Trapeze Networks 2006 | Proprietary and Confidential | April 11, 2023
Chapter 4: Arquitetura Avancada
SNS-ET-401 Treinamento Tecnica de Vendasv7.x
Trapeze Networks | Proprietary and Confidential | 04/11/23 2
Tópicos
Forwarding Distribuido Serviços de Mesh Balanceamento de Carga (Load Balancing) RADIUS
> Opções Autenticação> Redes baseado em Identidades> Balaceamento de Carga> Fall back> Autorizações Dinamicas> EAP Offload
Conrole de Bandwidth (banda) Suporte para Voz Proteção contra intrusos (Rogue) Integração com Air Defense
Trapeze Networks | Proprietary and Confidential | 04/11/23 3
VLAN ‘Vermelho’
VLAN ‘Vermelho’
Forwarding Distribuido
Forwarding Centralizado Tradicional
Forwarding Distribuido Smart Mobile
VLAN ‘Vermelho’
Trapeze Networks | Proprietary and Confidential | 04/11/23 4
APs Não Amarrados
Bridge com Wireless
Serviços de Mesh Wireless
Mesh Portal AP Mesh AP
Mesh LinkEncriptado
Mesh Portal AP Mesh AP
Mesh Link Encriptado
Segmento LAN Remote
Usuários Wireless
MeshPortal
Mesh AP
Trapeze Networks | Proprietary and Confidential | 04/11/23 5
Balanceamento Automatica de Carga por Banda RF
Band Steering (direção)
Balanceamento de Carga RF
Usuários Wireless
Cliente capaz de 802.11a vai ser ‘encorajado’ para conectar usando 5GHz
802.11b/g cliente somente connecta usando 2.4GHz
Trapeze Networks | Proprietary and Confidential | 04/11/23 6
RADIUS: Authentication Options
802.1x/EAP > Offload Mode
− PEAP-MSCHAPv2− EAP-TLS− EAP-MD5
> Passthrough Mode− Any other standards-based EAP type in pass through mode
Web Portal> Username & password in an HTTPS session ‘hijacked’ by the MX
MAC Authentication> For device authentication by MAC address
Last Resort> To allow any user onto an open SSID> Unknown users are transparently ‘authenticated’ as a system generated
‘last-resort’ user> VLAN and other authorization assignments are defined within the Last
Resort Service Profile
Trapeze Networks | Proprietary and Confidential | 04/11/23 7
RADIUS: Rede baseado em Identidades
• Os usuários presentam credenciais a
rede
• O “glob” está usado para achar uma
regra combinante para acesso
• O usuário está autenticado pelo metodo
especificado no server-group RADIUS
apropriado
Ao autenticar com sucesso
• O usuário está dinamicamente nomeado
para o VLAN especificado no RADIUS
• Os VSAs adicionais são aplicadas para a
sessão do usuário
• Este ‘identidade’ do usuário segue o
usuário para onde vai ambular
• O VLAN do usuário e todos os atributos de
autorização são dinamicamente aplicados
aonde o usuário vai conectar
Trapeze Networks | Proprietary and Confidential | 04/11/23 8
RADIUS: Balanceamento de Carga
Autenticação contra Grupo 1,
Servidor 1
Autenticação contra Grupo1,
Servidor 2
Autenticação contra Grupo 2,
Servidor 1
Trapeze Networks | Proprietary and Confidential | 04/11/23 9
RADIUS: Fall Back
Fonte Alternado de Autenticação
Fonte Primaria de Autenticação
Trapeze Networks | Proprietary and Confidential | 04/11/23 10
RADIUS: Autorizações Dinamicas
2. Novo atributos de Autorização enviados
durante o sessão
1. Atributos de Autorização enviado no
Autenticação
Trapeze Networks | Proprietary and Confidential | 04/11/23 11
RADIUS: EAP Offload
Pedida de Autenticação
Procesamento
Offload
Trapeze Networks | Proprietary and Confidential | 04/11/23 12
RADIUS: EAP Offload
Supplicante
AutenticadorServidor de Autenticação
TLS Cert, Client key exchange, Cert verify,
Change Cipher, Encrypted handshake
EAP Request, Identity [RFC2284]
RADIUS Access RequestRADIUS Access ChallengeRADIUS Access Request
RADIUS Access RequestRADIUS Access ChallengeRADIUS Access RequestRADIUS Access ChallengeRADIUS Access RequestRADIUS Access ChallengeRADIUS Access RequestRADIUS Access ChallengeRADIUS Access RequestRADIUS Access ChallengeRADIUS Access Request
RADIUS Access Challenge
RADIUS Access RequestRADIUS Access Accept
RADIUS Access Response
EAP Response, Identity [RFC2284]Request, EAP-PEAPTLS, Client HelloTLS, Svr Hello, Cert, CR, Hello DoneResponse, EAP-PEAPTLS, Svr Hello, Cert, CR, Hello Done
Response, EAP-PEAPTLS, Svr Hello, Cert, CR, Hello Done
Request, EAP-PEAP
TLS Change Cipher, Encrypted handshake
Response, EAP-PEAP
EAP Request, Identity [RFC2284]EAP Response, Identity [RFC2284]Challenge MSChapv2
Response MSChapv2Success, MSChapv2Ack MSChapv2EAP Success
Performedon MX
instead ofAAA server
Trapeze Networks | Proprietary and Confidential | 04/11/23 13
Controle de Bandwidth
Proposito> Para permitir o adminstrado da rede colocar limites de banda por cada usuário,
ssid e pela configuração de queuing weights (pesos) para garantir acesso confiavel aos SSIDs que suportam aplicações criticas ou usuários
Existem 3 metodos para controlar bandwidth:1. Bandwidth Maximo por SSID
− Configurando limits num full-duplex em unidades de Kb/s− A direção de transmitir está moldado e a direção de receber está policiado
2. Bandwidth Maximum por Usuário− Define uma taxa limite de full-duplex para a agregação de todas as paqotes pela a
cliente− Quando a taxa está excedido, o fluxo downstream vai ser moldado e o upstream vai ser
policiado
3. Série Justo Ponderado por Perfil do Radio− Automaticamente os perfeis de serviço são tratados baseado no numero de clientes− Quando Série Justo Ponderado está abilitado, os perfeis de serviço competem para a
oportunidade de transmitir baseado nos pesos pre-configurados.− Não houve efeito nenhum se o radio não está congestionado
Parametros de QoS parameters para um conjunto de usuários estão definidos no perfil de QOS
Trapeze Networks | Proprietary and Confidential | 04/11/23 14
Suporte para Voz
Prioritização de Traffigo
> Opções− Perfeis QoS são nomeados num base se por-usuário ou por-serviço− ACL para re-prioritizar os tipes de traffigo
> O WMM e Spectralink QoS são suportados Call Admission Control (CAC)
> Pode ser abilitado num Service Profile> O numero des sessões maximos por AP pode ser restritado
Power Save> Pode abilitar no Radio Profile
802.1p CoS
IP DSCP Prioritização
Preservadoem TAPA
4 Queues por UsuárioUm Frame entrando
Trapeze Networks | Proprietary and Confidential | 04/11/23 15
Proteção contra Intrusos (Rogue Protection)
Detectar os Intrusos
> Depositivo Suspeito Categorias− AP Rogue (intruso)− AP Neighbor (vizinho)− Clientes Rogue
Localize os Rogues> Em RingMaster
Neutralizar os Rogues> Activar Countermeasures no Radio
Profile
AP com Sentry/ Active Scan
NeighborAP
Rogue AP
Clientes Ad-hoc
AP com Sentry/ Active Scan
Local de Rogue Provavel
Trapeze Networks | Proprietary and Confidential | 04/11/23 16
Integração de AirDefense
Servidor AirDefenseTrapeze MX
Servidor RingMaster
Cliente RingMaster
Sensor AirDefense(AP convertido)
Trapeze APsDistribuidos
SNMP Traps
SNMP para Sincronizar o Dispositivo
Converte para ser
um Sensor
Convert e para ser
um AP de novo
Network
17
© Trapeze Networks 2006 | Proprietary and Confidential | April 11, 2023
Trapeze Networks Education Services
USA: Steven Elliott, Training Manager+1 925 474 2261, [email protected] Reuter, Trainer+1 925 474 2617, [email protected]
EMEA: Pete Dahl, International Training Manager+31 (0)35 6464 422, [email protected] Gerben Camp, Field Trainer EMEA+31 (0)35 6464 427, [email protected]
APAC: Edwin Kin Kwok Lin, Training Manager+852 2117 0172, [email protected]