Aruba Networksは現在ロシアにあります。 パート1-知り合いになる

すべての人に挨拶！

企業のワイヤレスネットワーク機器の分野でロシア市場に参入している比較的最近のプレーヤー、つまりワイヤレスセキュリティに大きな注意を払ったAruba Networksについて、一般の人々に伝えたかったのです。 この投稿は主に記述的であり、アルバを最初に垣間見ることができるように設計されているため、意図的に簡略化できるものもあります。



はい、「丘の向こう側」のAruba Networksは非常に有名であり、6月版のGartnerによると、CiscoおよびHP Networkingとともにリードしています。





Aruba Networksとは何ですか？ これらは、まず第一に、パブリックネットワーク/比較的小さなオープンエリア（スタジアムなど）を使用して、オフィス/地理的に分散した企業で安全なワイヤレスローカルエリアネットワークを構築するように設計されたソリューションです。 MANクラスのワイヤレスネットワークを構築するには、以下で説明するソリューションは適切ではありません。ArubaNetworks MeshまたはMotorolaソリューションを使用する必要があります。

シスコ製品との主な違いは、最終ソリューションのコストが低く（約1.5倍）、機器の量が少ないことです（たとえば、ほとんどの場合、追加のネットワーク管理ソフトウェアは必要ありません-コントローラーに組み込まれたソフトウェアは企業のニーズを完全にカバーしますが、もちろん、例外。これについては後で説明します）。

さらに、製造業者は他の製造業者がそのようなお金のために持たないいくつかの機能を提供します。

中央制御のWi-Fiネットワークを実際に構築することに加えて、Arubaは何ができますか？ 機能のリストは非常に大きいです。 以下では、それらすべてに言及しようとします。

コントローラー

ソリューションは、LANを介して直接接続された8つのアクセスポイントまたは最大64のリモートアクセスポイント（現時点では覚えていません-仕様が手元にありません）および単一のモジュール化されたアクセスポイントをサポートする小規模オフィス（支店-Aruba Networks用語では）のコントローラーから提供されますシャーシ-各モジュールは、最大2048個の接続されたLANポイントをサポートできます。



小さな余談-「LAN接続ポイント」と「リモートアクセスポイント」を書くのはなぜですか？ これらは、コントローラーの観点から見ると、さまざまな接続です。

LAN経由 ：アクセスポイントは組織のネットワーク内にあり、コントローラーには特定の内部静的アドレスがあります。 ポイントとの通信は、GREプロトコルに従って行われます。

「リモート」アクセスポイント 。 Aruba Networksの用語では、これは「リモートアクセスポイント」と呼ばれます（混乱はありますが、詳細は以下を参照）。 つまり、アクセスポイント（以降APと呼びます）は、VPN（IPSecプロトコルを使用しますが、別のものを選択できます）を使用して、パブリックネットワーク（インターネット）経由でコントローラーに接続します。 これは、小規模なリモートブランチでワイヤレスネットワークを整理するのに適しています。一方で、コントローラーのインストールは高価であり、意味がありませんが、企業のセキュリティポリシーでネットワークへのアクセスを提供する必要があります。 この場合、コントローラーはもちろん、外部から見えるIPを持つ必要があります。 DMZに配置するか、DMZからコントローラーにパケットを転送する機能を設定する必要があります。



少し余談。 今後の記事で各オプションの実装の特定の機能について説明する予定ですが、「リモートAP」の場合、ユーザーのインターネット要求がローカルプロバイダーを介してインターネットに直接送られるようにルーティングを構成することが可能です。コントローラーへのTDサービス要求と、本社に行くユーザーのすべての要求（たとえば、内部LANへのアクセス）はVPNを通過します



ネットワークを整理する際の便利な機能は、APをLANに直接（物理）接続する必要がないことです。サービス情報は、メッシュテクノロジーを使用して「無線で」受信できます。 この場合、物理的に1つのAPのみを接続する必要があります。 コントローラーには組み込みのWi-Fiモジュールがありません。

若いシリーズ（600シリーズ）のコントローラーにはUSBポートもあり、外部USB 3 / 4Gモデム（Yotaなど）を接続するか、NAS /共有ネットワークプリンターを整理するか、USBフラッシュドライブを接続するだけでネットワークユーザーがアクセスできます（アクセスポリシーに従って（構成されている場合）

さらに、すべてのコントローラーは、限られた有効期間、さまざまな認証スキーム（LDAP、RADIUS、内部データベース、証明書など）で個々のゲストアカウントを作成できるゲストポータルの作成をサポートします。 OSIモデルの第7レベルに進み、ネットワークへの侵入を防止する機能（WIPS-ワイヤレス侵入防止）、「外部」アクセスポイントを抑制する機能（実際には、「彼らの 「TD）、スイートB.規格上のトラフィックを暗号化する機能

はい、ローカルネットワーク上の機器を検索するためのプロトコル-Aruba Discovery Protocolがあります。 つまり 巨大な工場の鋼鉄製ケースのどこかにアクセスポイントを設置したため、面倒な作業を行うことなく、必要なすべての設定とポリシーを取得できます。 もちろん、コントローラーへの道順を取得できる場合を除きます。 ARMテクノロジーも統合されています-適応周波数制御により、範囲を監視し、最も負荷の少ないチャネルでクライアントをハングさせ、トランスミッターの電力を増加させ、どこかで低くすることができます...さらに、APはグループにまとめられ、各グループには独自の設定とセキュリティポリシーがあります問題なく、さまざまなポリシーがさまざまなブランチに実装されています。 保証されたチャネル幅のQoSも存在します。 さらに、VoIP（このタイプのトラフィックの帯域幅の冗長性を備えた）およびワイヤレスビデオ監視システム（冗長性も備えた）は簡単に構成できます。



さて、美的外観についてのいくつかの言葉。 おそらく誰もが使い慣れた通常のスイッチのように、一般に中レベルのコントローラー（3000シリーズ）は標準ラックに入れることができます。 トップエンド-モジュラー-3ユニットシャーシ、最大4つのモジュールをサポート。 最も若いシリーズ-600-は、あらゆる水平面に設置するように設計されており、設計を改良するためにいくつかの試みさえ行われました。







サボテンのポットは上からそれを求めます-有害な放射線を中和するために、労働者を落ち着かせます。



すべてのコントローラーには、10/100イーサネット（高速）および10/100/1000イーサネット（ギガビット）イーサネットポートがあります。 はい、コントローラーポートの一部にPoEがあります。 一部のモデルにはSFPもあります。 また、コンソールポートRJ-45（RS-232プロトコル）もあります。 HTTPSを介して、またはSSH / Telnetを使用してCLIで動作するようにコントローラーに接続できます。 また、一部の操作は、WebマズルよりもCLIで実行する方が簡単です。

コントローラは、ほぼすべての一般的なトラフィック暗号化アルゴリズムとセキュリティプロトコルをサポートしています。

また、コントローラーは「敵」のAP、クライアントデバイスの位置を特定し、それらの動きを追跡できます。 少なくとも3つのTDが必要です-なぜなら ポジショニングは、三角測量の原則に基づいて実装されます。 確かに、ここにも特殊性がありますが、興味があれば後で説明することができます。

アクセスポイント

Aruba Networksは、必要なことを行うシンプルなデバイスから多くのアクセスポイントを提供し、Wi-Fiネットワークを提供し、埃っぽいワークショップや屋外などの困難な条件で作業するためのモンスターで終わります。

すべてのアクセスポイントは、0〜50 Cの温度範囲（屋外での使用向けに設計されたモデルの場合--30、メモリが変わらない場合、+ 55 C）で動作し、相対湿度0〜95％（結露なし）繰り返しますが、屋外用に設計されたアクセスポイント）。 次に、屋内用に設計されたアクセスポイントについて説明します。

最も低予算のモデルを除くほとんどのモデルは、2.4 GHzモードと5 GHzモード（802.11 a / b / g / n）で同時に動作でき、MIMOテクノロジーを使用してデータ転送速度を向上させます。 一部のモデルでは、選択した1つのモード（2.4または5 GHz）でのみ動作することができ、ポイントトランスミッターの電力はコントローラーによって調整されます。 通常、最大値は21〜23 dBmに達します（中国向けの電源を除く-30あります）。 データ転送速度-150から300 Mbpsまでは、モデルによって異なります。 スペクトルアナライザーなどの追加機能は、すでに中価格モデルからサポートされています。

すべてのポイントに共通：原則として、内部または外部アンテナを備えたバージョンで同じモデルを使用できます。 また、一部のモデルは「オンボード」の外部アンテナを使用して製造され、一部は外部アンテナ用のコネクタを使用して製造されます。 すべてのポイントは、PoEまたは電源アダプターからの電力をサポートします。

TDのインターフェイスには、ファスト/ギガビットイーサネットとコンソールRJ 45ポートがあります。 追加機能のうち、APは2つのモードで機能できることに注意してください。コントローラの制御下で、または自律的に。 後者の場合、APはそれに接続されている他のいくつかのポイントに対して仮想コントローラーの機能を実行できます。 または、高価なコンパクトルーターにするだけです。 ただし、制限があります-「ホーム」（仮想コントローラーモードで動作する場合）、APはDHCPアドレスを受信する必要があります。そうしないと、うれしそうな指示にもかかわらず、Wi-Fiモジュールが立ち上がることはありません。 これは、この制限が適用されないRAPクラスAP（以下を参照）があるため、メーカーが意識的に導入したTDアーキテクチャのいくつかのイディオイによるものです。

APをオフにすると、ネットワーク、ポリシーなどに関する情報はありません。 それらは残りません。 オンにすると、APはコントローラーに設定を要求します。 これは、APの開始時間が5〜7分と比較的長いためです。

私は、いわば中級クラスのTDを賞賛することを提案します：







まず、すべてのAPは8〜16個の仮想アクセスポイントの作成をサポートしています。 つまり 1つのAPは、それぞれが独自のBSSIDを持つ複数のネットワークを生成し、VLANと相関します。

別のタイプのAP-RAP

ここで用語の混乱に近づきます。 rapは「通常の」APの接続の一種であり、RAPは機能と外観が通常の家庭用無線ルーターに似ている特別なクラスのAPですが、コントローラーの制御下で動作し、コントローラーからポリシーを受信する機能を備えています。接続に適した多数のイーサネットポートネットワークプリンターと、USBモデムを接続する機能があるとします。 従来のAPとの主な違いは、スペクトルアナライザーがなく、これらのAPがネットワーク、ポリシーなどに関する情報を保存できることです。 また、スタンドアロンルーターとしても機能します。機能するためには、通常のAPの場合のようにアドレスをまったく必要としません。 しかし、この種には通常のAPに特徴的な次の特徴がありません。

1. GRE経由でLAN内で作業できない-VPN接続のみ。 これは重要です、なぜなら 接続されたAPの数に対するライセンスがあり、このライセンスは各方法で接続されたポイントの数も制限します。
2. Meshでは動作しません（ただし、それ自体では、通常のAPのMeshポータルになることができます）（モデルによって異なります）
   
   RAPポイントにはいくつかの種類があります。 サイズ、ポート数、その他の機能が異なります。 ほとんどのモデルには、TPMチップ（Trusted Platform Module）が統合されています。

下の画像のように見えるかもしれません：







大まかに言えば、これは非常に高度なルーターです。

これは、インターネットが0.5キロメートル動作する非常に遠い暗闇のワイヤレスネットワークの組織を対象としていますが、それでもネットワークを提供する必要があり、できればセキュリティポリシーが必要です。 一般的に、この決定のプラスは巨大です。このボックスを構成し、「マーシャ、あなたはあなたの場所に来ます-この穴にケーブルを差し込み、ネットワークに差し込みます」という言葉で女の子マネージャーに渡すことができます。 「すべて、鉄が残りを行います。

WEBインターフェース

最後に、Webインターフェースがどのように実装されているかを見てみましょう。 以下のスクリーンショットは管理者アカウントから取得されたものですが、オブザーバーロールを作成することは可能です-クライアント設定またはシステム設定を変更することなく、ページのみがクライアントまたはシステムを監視できます。 メインページにアクセスすると、接続されているクライアントの数、ネットワークパフォーマンス、その他の有用な情報を確認できるページが表示されます。







クライアントに関する詳細情報も取得できます。







また、このタブには、抑制された（不正な）ネットワーク、近隣（干渉）、およびサービスネットワークを含む他のネットワークの数を示すネットワークセキュリティのセクションがあります。 当然、各ネットワークでは、接続されているクライアントを確認したり、帯域幅など、自己診断などに関する情報を取得したりできます。







そして最後に（Arubaで動作するインターフェイスは誰もが既に理解していると思います）、無線周波数環境の分析のスクリーンショットを提供します。

実装について少し

ほんの一言。 ソリューションは自給自足であるため、ほとんどの場合、すべてが非常に簡単になります。スイッチの空きポートを見つけて、コントローラを接続する必要があります。 APの動作方法を決定します-メッシュテクノロジーを使用する（この場合、220 Vの電力のみを供給すれば十分です）か、LAN経由でコントローラーを構成します。 ほとんどの場合、追加のサーバーをインストールする必要はありません。 必要に応じて、コントローラを有線ネットワークセグメントのルーターとして使用することもできます。 しかし、このネットワークへのデバイスの接続を検出し、違法としてマークすることが可能であり、その結果、デバイスが機能しないことを覚えておく必要があります（はい、有線ネットワークセグメントへの不正な接続を検出することは可能です）。

ほとんどの場合、追加のサーバーとソフトウェアをインストールする必要はありません。 本格的なRTLS（ロケーショントラッキングシステム）、さまざまなベンダーのネットワーク機器の集中管理（ちなみに、RTLSと制御システムを組み合わせることができます）、「透過的な」BYODなどの機能を実装する必要がある場合、追加のサーバーのインストールが必要です。

RTLSにより、Aruba NetworksはEkahauまたはAeroscoutとシームレスに統合します。

結論として

ここでAruba Networksについて話そうとしましたが、残念なことに、セキュリティトピックはここでは明らかに完全には開示されていませんが、これは一般的に製品の重要な機能です。 したがって、時間が経つにつれて、Aruba Networksのセキュリティのトピックに関するより「技術的な」投稿を作成し、また、クライアントデバイス、AirWaveマルチベンダーコントロールシステム、セキュアにソフトウェアをインストールする必要のないBYODなどの他のArubaチップを明らかにしようVIA企業LANへのアクセス、ワンタイムパスワード機能の実装など。ただし、後者はおそらくこのトピックに興味がある場合は既に存在します。

他のベンダーの機器とは対照的に、適切なソリューションの購入のみが必要なハードウェアが実装された機能がすでに提供されていることに注意してください。



そして、もし誰かが興味があるなら-モスクワにはAruba Networksに基づいたソリューションを構築できるインテグレーターがいますが、広告を繁殖させないために-habrahpostでこれらの質問を見つけてください。



ご清聴ありがとうございました！