1. Enterprise WLAN mit Trapeze Networks
Volker Natemeyer
Systems Engineer
volker.natemeyer@trapezenetworks.com
2. Trapeze Networks
• Gegründet März 2002 Seit Juni 2008 Teil von Belden inc.
• Headquarter in Pleasanton, CA - 8.000 Mitarbeiter im Konzern
• EMEA-Zentrale in Hilversum/NL - 2 Mrd. Dollar Umsatz
- Spezialist für Kabel und Signalisierung
• 250+ Mitarbeiter
• Focus ausschliesslich WLAN
• Mehr als 40 WLAN Patente
• Über 2500 Kunden weltweit
• Über 800 Kunden in Zentraleuropa Hirschmann Automation gehört seit
Mai 2007 zu Belden
- Spezialist für Industrial Ethernet
• Übernahme durch Trapeze im
Dezember 2008 Steckverbinder-Systeme
• RTLS – LBS Experten
Trapeze Networks, A BELDEN Brand | Proprietary and Confidential | 01/13/09 Slide
4. Die Elemente des Smart Mobile
RingMaster™
Mobility System Software
Mobility Mobility Points
Exchange
Sicherheit – Integration – Skalierbarkeit
Planung – Deployment – Management
5. Trapeze Networks: Pionier bei den
Kontroller basierten WLAN Lösungen
WLAN als Overlay Netzwerk
• Ermöglicht unterbrechungsfreies Roaming unabängig von
bestehender Netzwerkstrukur
• Vlan
• IP Bereiche
• Definierte „Übergabepunkte“ der WLAN Daten in das
bestehende Netzwerk: L2 Ansatz
• LAN Ports am Kontroller
• Controller als L2 „Bridge“ zwischen WLAN und VLAN
• Zentrales Management
• Jegliche Konfiguration der Wlan Dienste und der APs nur über
Kontroller
6. SmartMobile Architektur
• Abdeckung unterschiedlicher Benutzeranforderungen
• Sicherheitanforderungen für verschiedene Nutzergruppen
• Interne WLAN Nutzer, Contractor, Besucher, ... Mapping von
Benutzern auf
• Roaming
Vlans
• Identische Netzwerkumgebung für den einzelnen Nutzer,
unabhängig vom Ort
• Ausfallsicherheit „Always On“
• Einfache Implementierung und Betrieb großer Netze
• Zentrale Verwaltung
• Minimierung der Eingriffe in die LAN und Security
Architektur
• Vlan, Firewall, L3 Struktur ....
• Gute Skalierbarkeit
• Anzahl der Kontroller und APs
• Erweiterbarkeit
• Virtualisierung (Clustering der Controller) RingMaster
ManagementOberfläche
7. Controller-Ansatz: Zentrale Kontrolle
und Konfiguration der APs
L2/L3 Netzwerk
• Control-Tunnel zwischen AP und Controller (MX)
• Kontroller als zentrale Stelle für die Konfiguation
• Auf dem Kontroller werden die Wireless Netze und die APs konfiguriert
• Viele Funktionen dezentral: De/Encryption; ALCs, QoS Handling
• AP Controller Redundanz
• Individuelle Konfiguration eines AP wird auf einem Backup Kontroller vorgehalten
• Manuell oder automatisch im Cluster Mode (später mehr)
• Konfiguration auf Kontroller und RingMaster (Management SW)
• Auch die Konfig Daten liegen physikalisch sowohl auf dem Kontroller als auch im
RingMaster
8. Smart Mobile Architektur:
Benutzer - Handling
Vlan_10
Vlan_20
L2/L3 Netzwerk
Client für Vlan_20
Client für Vlan_10
User Mapping auf Vlan
• Unterschiedliche Vlans möglich, auch wenn User mit einer
SSID verbunden sind
• Mapping konfigurierbar per SSID, per User oder User-
Group
9. Smart Mobile Architektur:
Datenfluss
Vlan_10
L2/L3 Netzwerk
TAPA Daten-
Tunnel Local
Switching
AP -> Vlan
Optionen für den Client-Traffic:
• Daten Tunnel zw. AP und Controller oder
• Local Switching: Vlan Break-Out am AP
• Einstellbar pro individuellem AP
• Vlan muss am AP anliegen (tagged oder untagged)
10. Einsatz mehrerer Controller:
Dynamische Vlan Tunnel
Vlan_extern
Vlan_10
DMZ
L2/L3 Netzwerk
TAPA Daten-
Tunnel
Client für
Vlan_extern
Option, falls „Ziel Vlan“ am Controller nicht anliegt:
Dyn. Daten-Tunnel zum Ziel-Controller, an dem das Vlan
konfiguriert ist
11. Mobility Domain, Netzwerk Domain
Mobility Domain:
Umfasst alle Kontroller eines Standortes
Seamless Roaming zwischen allen APs / Kontrollern
Austausch von User/Session Daten sowie Vlan-Informationen
Bis zu 64 Kontroller je Mobility Domain
Manuelle Konfiguration des Backup-Kontrollers
Network Domain:
Mehrere Mobility Domains, die räumlich getrennt sind, können zu
einer Network Domain zusammengefasst werden
Austausch von Vlan-Informationen
Mapping User-zu-Vlan auch zwischen Standorten
Bis zu 500 Kontroller je Network Domain
12. Cluster: MX Virtualisierung
• Cluster bietet single-Point-of-Configuration für die APs und Wlan
Services
• Hitless Failover der APs bei MX Ausfall, Client Session bleibt bestehen
• Konfiguration auf Mobility Domain Seed MX
• Primary Seed MX wird Cluster Seed
• Secondary Seed MX wird Secondary Cluster Seed
• Alle Controller der Domain werden dem Cluster zugefügt
• Max. 64 MXs und 4096 distributed APs innerhalb des Clusters*
• Automatische Verteilung der Konfigs aller APs innerhalb des Clusters
• AP configs, Radio Profiles, Service Profiles, Vlan profiles, ACLs
Cluster Konfig
Wireless Konfig
Controller 1 :Konfig Controller 2 :Konfig AAA Konfig (Radius, Access Rules)
System Konfig 1 System Konfig 2
Wireless Konfig Wireless Konfig System Konfig 1 System Konfig 2
AAA Konfig 1 AAA Konfig 2 AAA Konfig 1 (local AAA Konfig 2
user database) (local user database)
Bem.: Mit SW 7.1 (Dez.09) ist die AAA
*) mit MX-2800 als Cluster Seed Konfig auch Teil der Cluster Konfg
13. Cluster Details
• Im Cluster wird jedem AP ein primärer (PAM) und ein
sekundärer Kontroller (SAM) zugewiesen
• Der AP baut einen TAPA Control-Tunnel zum PAM und
zum SAM auf
• Beide Kontroller kennen den aktuellen Zustand des AP
• Der TAPA Datentunnel geht zum PAM
• Im Failover-Fall schwenkt der AP den TAPA Datentunnel
zum SAM um
• Nach 150 msec geht der normale Datenverkehr ohne weitere
Störungen weiter
• Für die Clients ist der Schwenk nicht bemerkbar
14. Cluster Konfig:: AP Load Balancing
innerhalb des Clusters
• AP Load Balancing: APs werden automatisch auf einzelne
Clustermember verteilt
• Primary AP Manager (PAM), Secondary AP Manager (SAM)
• Abhängig von Kapazität und Lizenzen
• Dynamische Re-Distribution nach Änderung der MX-Anzahl
Erhebliche Minimierung des Konfig-Aufwandes
• Die maximale Anzahl der APs innerhalb des Clusters ist
beschränkt auf die maximale Anzahl der konfigurierbaren
APs auf dem Cluster Seed
• Max 4096 APs mit MX-2800
15. 9 Gründe für die Trapeze Lösung
1. Höchste Skalierbarkeit und Investitionsschutz
• Skalierbar von 4 bis zu tausenden
MPs
• Ein Mangement für alle Systeme
• Alle Kontroller beliebig kombinierbar
• Identischer Feature Set über alle
Kontroller
• Auch alte Kontroller unterstützen
802.11n
Trapeze Networks, A BELDEN Brand | Proprietary and Confidential | 01/13/09 Slide
17. Skalierbarkeit
RingMaster Appliance RM-200
Turnkey Lösung – Hardware, OS, Plattform Tools und Applikation
Software im Bundle
Bis zu 1000 Controller oder 5000 APs
RingMaster SW
bis zu 100 Controller oder 1000 Aps
RingMaster Global
Verwaltet bis zu 20 verteilte RingMaster Server, 20.000 Controller
oder100,000 APs
1
18. Skalierbarkeit und Investitionsschutz
Security Management
Security Management Reliability Performance
Reliability Performance Networks, A BELDEN Brand | Proprietary and Confidential | 01/13/09
Trapeze Slide
19. 9 Gründe für die Trapeze Lösung
1. Höchste Skalierbarkeit und Investitionsschutz
2. Flexible Lastverteilung und Kapazitätsmanagement
3.
4.
5.
6.
7.
8.
9.
Trapeze Networks, A BELDEN Brand | Proprietary and Confidential | 01/13/09 Slide
20. AP Lastverteilung und “Band Steering”
• Most Wi-Fi devices default to 2.4Ghz (better range)
• Increases contention for spectrum, while 5Ghz virtually unused
• We steer 5Ghz-capable clients (802.11a/n) to 5Ghz
• Completely transparent - No duplication of SSID, VLAN required
• 30-40% better bandwidth utilization with no cost
• Load share Clients between groups of APs
802.11b/g 802.11a
Trapeze Networks, A BELDEN Brand | Proprietary and Confidential | 01/13/09 Slide
21. 9 Gründe für die Trapeze Lösung
1. Höchste Skalierbarkeit und Investitionsschutz
2. Überragende Lastverteilung und Kapazitätsmanagement
3. Komfortabler Gast Zugriff - SmartPass
4.
5.
6.
7.
8.
9.
Trapeze Networks, A BELDEN Brand | Proprietary and Confidential | 01/13/09 Slide
22. Smart Pass
Gast Account Management
Ausdruck von Vochers mit
Username / Password
Verschiedene User-Typen
konfiguriertbar
Datums und Zeit abhängiger
Zugang
Bandbreite / Volumenbegrenzung
Lokation
Dynamische De-
authentisierung
2
23. Anlegen eines Gast Templates
Example: Contractor that will be on your premises some days, over the next 3 weeks.
SmartPass can restrict access to only the days and hours contractor is on campus.
Other vendors only control total duration…allowing access 24/7 for the entire period.
24. 9 Gründe für die Trapeze Lösung
1. Höchste Skalierbarkeit und Investitionsschutz
2. Überragende Lastverteilung und Kapazitätsmanagement
3. Komfortabler Gast Zugriff - SmartPass
4. Beste Architektur für zuverlässige Voice-Anwendungen in
Festnetzqualität
5.
6.
7.
8.
9.
Trapeze Networks, A BELDEN Brand | Proprietary and Confidential | 01/13/09 Slide
25. Optimale Architektur für WLAN-Telefonie
Anchored Mobility – Basic Roaming Smart Mobile - Seamless Mobility
Mobility
Controller A Controller B Controller A Domain Controller B
A A
Subnet 1 Subnet 2 Subnet 2
Subnet 1
Client A on Client B on Client A on Client B on
Subnet 1 Subnet 1 Subnet 1 Subnet 1
• Abhängigkeit vom “Home” Controller • Unabhängig vom “Home” Controller
• Unnötige Round-Trips durchs Netzwerk • Optimierter Datenfluss durch die Infrastruktur
• Keine Kenntnis über Client-Roaming • Kenntnis im Voraus über Client-Roaming
• Nicht imun gegen Controller Ausfall • Höchste Verfügbarkeit in der Infrastruktur
• Timeouts und Callabbrüche möglich • Festnetzqualität ohne Abbrüche
Trapeze Networks, A BELDEN Brand | Proprietary and Confidential | 01/13/09 Slide
26. Optimale Architektur für WLAN-Telefonie
Beste Voice Performance
Getestet wurden Cisco, Siemens, Aruba,
Trapeze im Dezember 2007
Trapeze hat als einziger in allen Bereichen
ein “gut” erhalten
Trapeze Networks, A BELDEN Brand | Proprietary and Confidential | 01/13/09 Slide
27. 9 Gründe für die Trapeze Lösung
1. Höchste Skalierbarkeit und Investitionsschutz
2. Überragende Lastverteilung und Kapazitätsmanagement
3. Komfortabler Gast Zugriff - SmartPass
4. Beste Architektur für zuverlässige Voice-Anwendungen in
Festnetzqualität
5. Identisches Managementmodell Indoor und Outdoor
6.
7.
8.
9. .
Trapeze Networks, A BELDEN Brand | Proprietary and Confidential | 01/13/09 Slide
28. Self-Optimizing, Self-Healing Mesh
• Verschiedene Mesh-Pfade möglich
• Mesh Portale bieten Mesh Service an
• AP wählt besten Pfad zum Mesh-Portal
• “Station Switching Records” werden im
Netz announciert
• Mesh Portal steuert Firewallregeln und
Policies
• Selbstheilung im Falle eines blockierten
Pfades
• “Station Switching Records” werden neu
announciert
Trapeze Networks, A BELDEN Brand | Proprietary and Confidential | 01/13/09 Slide
29. Indoor / Outdoor Access Points
MP-422 MP-82 MP-432 MP-620 MP-632
Indoor Indoor Indoor Outdoor Outdoor
2 Radio 2 Radio 2 Radio 2 Radio 2 Radio
a/b/g 2*3 MIMO 3*3 MIMO a/b/g 3*3 MIMO
a/b/g/n a/b/g/n a/b/g/n
Mesh and Mesh and Mesh and Mesh and Mesh and
Bridging Bridging Bridging Bridging Bridging
30. 9 Gründe für die Trapeze Lösung
1. Höchste Skalierbarkeit und Investitionsschutz
2. Überragende Lastverteilung und Kapazitätsmanagement
3. Komfortabler Gast Zugriff - SmartPass
4. Beste Architektur für zuverlässige Voice-Anwendungen in
Festnetzqualität
5. Identisches Managementmodell Indoor und Outdoor
6. Höchste Verfügbarkeit, Non-Stop Infrastruktur
7.
8.
9.
Trapeze Networks, A BELDEN Brand | Proprietary and Confidential | 01/13/09 Slide
31. Smart Mobile Clustered Switching
Today’s Limited Approach Smart Mobile – Clustered Approach
Hot Stand-by Back-
up Switch
Switch A Switch B Switch C
Unabhängige Switche agieren ohne direkte Geclusterte Switche agieren kollektiv wie ein
virtueller Controller
Verbindung
Optimalie Skalierbarkeit – Resourcen können
Skaliert nicht optimal
dynamisch hinzugefügt werden
Eingeschränkte Hochverfügbarkeit – APs Höchste Verfügbarkeit – APs werden
werden statisch auf Controller gemappt automatisch gemappt und dynamisch
umverteilt wenn nötig
Eingeschränkte Redundanz – N+1 (Abhängig Always-on Redundanz – Jeder Switch kann als
von der Anzahl bereitgestellter Backup-MX) Backup fungieren
Management anspruchsvoller, hohe “Cost of Einfaches Management, single point of
ownership” configuraton niedrigste “Cost of ownership”
32. 9 Gründe für die Trapeze Lösung
1. Höchste Skalierbarkeit und Investitionsschutz
2. Lastverteilung und Kapazitätsmanagement
3. Komfortabler Gast Zugriff - SmartPass
4. Beste Architektur für zuverlässige Voice-Anwendungen in
Festnetzqualität
5. Identisches Managementmodell Indoor und Outdoor
6. Höchste Verfügbarkeit, Non-Stop Infrastruktur
7. Führende Wireless IDS/IPS mit dynamischen
Gegenmaßnahmen
8.
9.
Trapeze Networks, A BELDEN Brand | Proprietary and Confidential | 01/13/09 Slide
33. Trapeze Multi-Tiered WLAN Security
Web Portal with
Integrity Check
Web Portal with Location
Check
Intrusion
LA-200
Untrusted Client
Untrusted Client
AAA
Servers
SmartPass
X
Rogue AP
Detection &
Protection
802.1X
Authentication
Strong
RingMaster
X
Rogue User
Encryption
Application
Trusted Client Firewall
Verschlüsselung Endgerätekontrolle Firewall Angreifer Abwehr
• 802.1X, EAP-TLS, • Trusted Network Connect • Application-aware QoS • Core WIDS/WIPS
PEAP, TTLS, MAC, (Trusted Computing scheduling, location and • Scan, detect, locate,
Web, ... Group) security filtering disable Rogues
• 802.11i, WPA2, WPA, • Microsoft Network Access • Time and location based • Automatically classify
AES, CCMP … Protection (NAP) access control and disable Rogues
• Juniper Networks Unified • Location aware access
Access Control (UAC) control
• Dynamic Authorization
changes
Trapeze Networks, A BELDEN Brand | Proprietary and Confidential | 01/13/09 Slide
34. IDS/IPS Erkannte Angriffe
• Rogue access points • Spoofed access point mac-address attacks
• Interfering access points • Spoofed client mac-address attacks
• Rogue 802.11 clients • Ssid masquerade attacks
• Interfering 802.11 clients • Spoofed deauthentication attacks
• Spoofed disassociation attacks
• 802.11 adhoc clients
• Null probe responses
• Unknown 802.11 clients
• Broadcast deauthentications
• Interfering 802.11 clients on wired LAN • FakeAP ssid attacks
• 802.11 probe request flood • FakeAP bssid attacks
• 802.11 authentication flood • Netstumbler clients
• 802.11 null data flood • Wellenreiter clients
• 802.11 mgmt type 6 flood • Active scans
• 802.11 mgmt type 7 flood • Wireless bridge frames
• 802.11 mgmt type d flood • Adhoc client frames
• 802.11 mgmt type e flood • Access points present in attack-list
• Access points not present in ssid-list
• 802.11 mgmt type f flood
• Access points not present in vendor-list
• 802.11 association flood
• Clients not present in vendor-list
• 802.11 reassociation flood • Clients added to automatic black-list
• 802.11 disassociation flood
• Weak wep initialization vectors
35. Führendes wireless IDS/IPS
Führend bei WLAN Sicherheit
Studie über die Top 11 WLAN Anbieter
Trapeze auf Platz #1
*20-seitiger Bericht verfügbar
Unabhängige Studie
Trapeze Networks, A BELDEN Brand | Proprietary and Confidential | 01/13/09 Slide
36. 9 Gründe für die Trapeze Lösung
1. Höchste Skalierbarkeit und Investitionsschutz
2. Überragende Lastverteilung und Kapazitätsmanagement
3. Komfortabler Gast Zugriff - SmartPass
4. Beste Architektur für zuverlässige Voice-Anwendungen in
Festnetzqualität
5. Identisches Managementmodell Indoor und Outdoor
6. Höchste Verfügbarkeit, Non-Stop Infrastruktur
7. Führende Wireless IDS/IPS mit dynamischen
Gegenmaßnahmen
8. Fortschrittlichstes RF Planungstool und WLAN-
Management
9. .
Trapeze Networks, A BELDEN Brand | Proprietary and Confidential | 01/13/09 Slide
37. RingMaster™
Eine Applikation für komplette
Lebensdauer
Benutzer- und Rechteverwaltung
Client-Server Konzept
Win, Linux, Mac OS X
RingMaster Bestandteile
Komplette Simulation und HF-
Planung
Konfigurationsmanagement
Monitoring Display
Reporterstellung
Integration und Automatisierung
Vermeiden von
Konfigurationsfehlern
Schnellere Erkennung von
Problemen
Effizientere Planung
38. Zentrales Lifecycle Management
Integrierte
WLAN-Planung
Netzwerkweite
Konfiguration
Umfangreiches
Monitoring
Kontinuierliche
Überwachung der • Planen kompletter Gebäude
• Bestimmt Anzahl und Ort benötigter Access Points
Performance und • Manuelle Korrekturen und Verdichtungen möglich
Optimierung • Erstellt Ausleuchtung und Arbeitsauftrag
40
39. Zentrales Lifecycle Management
Integrierte
WLAN-Planung
Netzwerkweite
Konfiguration
Umfangreiches
Monitoring
• Dashboard-Ansicht
Kontinuierliche
• Fehler- und Alarmzuordnung
Überwachung der • Detailansichte
Performance und • Anpassbare Reports
Optimierung • bis zu 30 Tage History
43
40. 9 Gründe für die Trapeze Lösung
1. Höchste Skalierbarkeit und Investitionsschutz
2. Lastverteilung und Kapazitätsmanagement
3. Komfortabler Gast Zugriff - SmartPass
4. Beste Architektur für zuverlässige Voice-Anwendungen in
Festnetzqualität
5. Identisches Managementmodell Indoor und Outdoor
6. Höchste Verfügbarkeit, Non-Stop Infrastruktur
7. Führende Wireless IDS/IPS mit dynamischen
Gegenmaßnahmen
8. Fortschrittlichstes RF Planungstool und WLAN-
Management
9. Integration von RTLBS Real Time Location based
Services
Trapeze Networks, A BELDEN Brand | Proprietary and Confidential | 01/13/09 Slide
41. Trapeze Location Appliance™
Lokalisierungsserver sammelt und wertet die RSSI Daten aller Clients aus, die
von den APs gesendet werden
Raumgenaue Ortung durch Vergleich mit vorher genommenen RSSI Fingerprints
der Räume
Überwachung von IEEE 802.11 Geräten OHNE spezielle Clientsoftware
RFID- Tags, WLAN-Telefone, PDAs, Laptops
Hohe Präzision (99 % Raumgenau)
Geringe Verzögerung (“fast” in Echtzeit: 20 bis 60 sec)
Hohe Skalierbarkeit (Überwachung von 1000en Geräten gleichzeitig)
Trapeze Networks, A BELDEN Brand | Proprietary and Confidential | 01/13/09 Slide
42. Anwendungen
• Häufige Anwendungsfälle
• Monitoring – Endgeräte und Rogue
Monitorung und Auditing
– Branchen: Unternehmen, Universitäten
• Location based access control – “RF
Firewall” w/ “grey” access
– Branchen: Unternehmen, Universitäten
• Asset Tracking – Ortung wertvoller
Assets verbessert Prozesse
– Branchen: Krankenhaus, Hotels
• Location Based Content Delivery –
Kontextabhängige Datenzugriffe je nach
Aufenthaltsort des Users
– Branchen: Krankenhaus, Museums /
Messen
Trapeze Networks, A BELDEN Brand | Proprietary and Confidential | 01/13/09 Slide
43. Die Komplettlösung – RF Firewall
• Location based access
control application
(SmartPass)
• Verwaltung von Regeln zur
Steuerung des Userzugriffes
basierend auf Ort,
Datentransfer, Username,
SSID, etc..
• Möglichkeit von “allow” und
“deny” Regeln basierend auf
dem Aufenthaltsort des Users
Trapeze Networks, A BELDEN Brand | Proprietary and Confidential | 01/13/09 Slide