Trapeze WLAN-Lösung

Enterprise WLAN mit Trapeze Networks

Volker Natemeyer
Systems Engineer
volker.natemeyer@trapezenetworks.com

Trapeze Networks

• Gegründet März 2002  Seit Juni 2008 Teil von Belden inc.
• Headquarter in Pleasanton, CA - 8.000 Mitarbeiter im Konzern
• EMEA-Zentrale in Hilversum/NL - 2 Mrd. Dollar Umsatz
- Spezialist für Kabel und Signalisierung
• 250+ Mitarbeiter

• Focus ausschliesslich WLAN
• Mehr als 40 WLAN Patente
• Über 2500 Kunden weltweit
• Über 800 Kunden in Zentraleuropa  Hirschmann Automation gehört seit
Mai 2007 zu Belden
- Spezialist für Industrial Ethernet

• Übernahme durch Trapeze im
Dezember 2008  Steckverbinder-Systeme
• RTLS – LBS Experten

Trapeze Networks, A BELDEN Brand | Proprietary and Confidential | 01/13/09 Slide

Trapeze Kunden in Deutschland

Stadt Pforzheim

Die Elemente des Smart Mobile

RingMaster™

Mobility System Software
Mobility Mobility Points
Exchange

Sicherheit – Integration – Skalierbarkeit

Planung – Deployment – Management

Trapeze Networks: Pionier bei den
Kontroller basierten WLAN Lösungen

WLAN als Overlay Netzwerk
• Ermöglicht unterbrechungsfreies Roaming unabängig von
bestehender Netzwerkstrukur
• Vlan
• IP Bereiche
• Definierte „Übergabepunkte“ der WLAN Daten in das
bestehende Netzwerk: L2 Ansatz
• LAN Ports am Kontroller
• Controller als L2 „Bridge“ zwischen WLAN und VLAN
• Zentrales Management
• Jegliche Konfiguration der Wlan Dienste und der APs nur über
Kontroller

SmartMobile Architektur
• Abdeckung unterschiedlicher Benutzeranforderungen
• Sicherheitanforderungen für verschiedene Nutzergruppen
• Interne WLAN Nutzer, Contractor, Besucher, ... Mapping von
Benutzern auf
• Roaming
Vlans
•  Identische Netzwerkumgebung für den einzelnen Nutzer,
unabhängig vom Ort
• Ausfallsicherheit  „Always On“
• Einfache Implementierung und Betrieb großer Netze
• Zentrale Verwaltung
• Minimierung der Eingriffe in die LAN und Security
Architektur
•  Vlan, Firewall, L3 Struktur ....
• Gute Skalierbarkeit
• Anzahl der Kontroller und APs
• Erweiterbarkeit
• Virtualisierung (Clustering der Controller) RingMaster
ManagementOberfläche

Controller-Ansatz: Zentrale Kontrolle
und Konfiguration der APs

L2/L3 Netzwerk

• Control-Tunnel zwischen AP und Controller (MX)
• Kontroller als zentrale Stelle für die Konfiguation
• Auf dem Kontroller werden die Wireless Netze und die APs konfiguriert
• Viele Funktionen dezentral: De/Encryption; ALCs, QoS Handling
• AP Controller Redundanz
• Individuelle Konfiguration eines AP wird auf einem Backup Kontroller vorgehalten
• Manuell oder automatisch im Cluster Mode (später mehr)
• Konfiguration auf Kontroller und RingMaster (Management SW)
• Auch die Konfig Daten liegen physikalisch sowohl auf dem Kontroller als auch im
RingMaster

Smart Mobile Architektur:
Benutzer - Handling
Vlan_10

Vlan_20

L2/L3 Netzwerk

Client für Vlan_20
Client für Vlan_10

User Mapping auf Vlan
• Unterschiedliche Vlans möglich, auch wenn User mit einer
SSID verbunden sind
• Mapping konfigurierbar per SSID, per User oder User-
Group

Smart Mobile Architektur:
Datenfluss
Vlan_10

L2/L3 Netzwerk

TAPA Daten-
Tunnel Local
Switching
AP -> Vlan

Optionen für den Client-Traffic:
• Daten Tunnel zw. AP und Controller oder
• Local Switching: Vlan Break-Out am AP
• Einstellbar pro individuellem AP
• Vlan muss am AP anliegen (tagged oder untagged)

Einsatz mehrerer Controller:
Dynamische Vlan Tunnel
Vlan_extern
Vlan_10

DMZ

L2/L3 Netzwerk

TAPA Daten-
Tunnel

Client für
Vlan_extern

Option, falls „Ziel Vlan“ am Controller nicht anliegt:
 Dyn. Daten-Tunnel zum Ziel-Controller, an dem das Vlan
konfiguriert ist

Mobility Domain, Netzwerk Domain

Mobility Domain:
Umfasst alle Kontroller eines Standortes
Seamless Roaming zwischen allen APs / Kontrollern
Austausch von User/Session Daten sowie Vlan-Informationen
Bis zu 64 Kontroller je Mobility Domain
Manuelle Konfiguration des Backup-Kontrollers

Network Domain:
Mehrere Mobility Domains, die räumlich getrennt sind, können zu
einer Network Domain zusammengefasst werden
Austausch von Vlan-Informationen
Mapping User-zu-Vlan auch zwischen Standorten
Bis zu 500 Kontroller je Network Domain

Cluster: MX Virtualisierung
• Cluster bietet single-Point-of-Configuration für die APs und Wlan
Services
• Hitless Failover der APs bei MX Ausfall, Client Session bleibt bestehen
• Konfiguration auf Mobility Domain Seed MX
• Primary Seed MX wird Cluster Seed
• Secondary Seed MX wird Secondary Cluster Seed
• Alle Controller der Domain werden dem Cluster zugefügt
• Max. 64 MXs und 4096 distributed APs innerhalb des Clusters*
• Automatische Verteilung der Konfigs aller APs innerhalb des Clusters
• AP configs, Radio Profiles, Service Profiles, Vlan profiles, ACLs

Cluster Konfig
Wireless Konfig
Controller 1 :Konfig Controller 2 :Konfig AAA Konfig (Radius, Access Rules)
System Konfig 1 System Konfig 2
Wireless Konfig Wireless Konfig System Konfig 1 System Konfig 2
AAA Konfig 1 AAA Konfig 2 AAA Konfig 1 (local AAA Konfig 2
user database) (local user database)

Bem.: Mit SW 7.1 (Dez.09) ist die AAA
*) mit MX-2800 als Cluster Seed Konfig auch Teil der Cluster Konfg

Cluster Details

• Im Cluster wird jedem AP ein primärer (PAM) und ein
sekundärer Kontroller (SAM) zugewiesen
• Der AP baut einen TAPA Control-Tunnel zum PAM und
zum SAM auf
• Beide Kontroller kennen den aktuellen Zustand des AP
• Der TAPA Datentunnel geht zum PAM
• Im Failover-Fall schwenkt der AP den TAPA Datentunnel
zum SAM um
• Nach 150 msec geht der normale Datenverkehr ohne weitere
Störungen weiter
• Für die Clients ist der Schwenk nicht bemerkbar

Cluster Konfig:: AP Load Balancing
innerhalb des Clusters

• AP Load Balancing: APs werden automatisch auf einzelne
Clustermember verteilt
• Primary AP Manager (PAM), Secondary AP Manager (SAM)
• Abhängig von Kapazität und Lizenzen
• Dynamische Re-Distribution nach Änderung der MX-Anzahl

Erhebliche Minimierung des Konfig-Aufwandes

• Die maximale Anzahl der APs innerhalb des Clusters ist
beschränkt auf die maximale Anzahl der konfigurierbaren
APs auf dem Cluster Seed
• Max 4096 APs mit MX-2800

9 Gründe für die Trapeze Lösung

1. Höchste Skalierbarkeit und Investitionsschutz

• Skalierbar von 4 bis zu tausenden
MPs

• Ein Mangement für alle Systeme

• Alle Kontroller beliebig kombinierbar

• Identischer Feature Set über alle
Kontroller

• Auch alte Kontroller unterstützen
802.11n


Skalierbarkeit
Die Mobility Exchange™ Gerätefamilie

MX-2800
64-512 .11n MPs
2x10GE (XFP)
8xGE (SFP, RJ45)
FIPS 140-2
Performance

MX-200R
MX-216R
32-192 MPs
32-192 MPs
2xGE (SFP)
16 FastEthernet (10/100) PoE
FIPS 140-2
2xGE(SFP)
FIPS 140-2

MX-8R
12 MPs
PoE, 8 FastEthernet (10/100)
MXR-2
4 MPs
PoE, 2 FastEthernet (10/100)

Aussenstellen Distribution / Unterverteilungen Rechenzentren

Skalierbarkeit

RingMaster Appliance RM-200
Turnkey Lösung – Hardware, OS, Plattform Tools und Applikation
Software im Bundle
Bis zu 1000 Controller oder 5000 APs

RingMaster SW
bis zu 100 Controller oder 1000 Aps

RingMaster Global
Verwaltet bis zu 20 verteilte RingMaster Server, 20.000 Controller
oder100,000 APs

1

Skalierbarkeit und Investitionsschutz

Security Management
Security Management Reliability Performance
Reliability Performance Networks, A BELDEN Brand | Proprietary and Confidential | 01/13/09
Trapeze Slide


2. Flexible Lastverteilung und Kapazitätsmanagement
3.
4.
5.
6.
7.
8.
9.


AP Lastverteilung und “Band Steering”

• Most Wi-Fi devices default to 2.4Ghz (better range)
• Increases contention for spectrum, while 5Ghz virtually unused
• We steer 5Ghz-capable clients (802.11a/n) to 5Ghz
• Completely transparent - No duplication of SSID, VLAN required
• 30-40% better bandwidth utilization with no cost
• Load share Clients between groups of APs
802.11b/g 802.11a



2. Überragende Lastverteilung und Kapazitätsmanagement
3. Komfortabler Gast Zugriff - SmartPass
4.
5.
6.
7.
8.
9.


Smart Pass

Gast Account Management
 Ausdruck von Vochers mit
Username / Password
 Verschiedene User-Typen
konfiguriertbar
 Datums und Zeit abhängiger
Zugang
 Bandbreite / Volumenbegrenzung
 Lokation

 Dynamische De-
authentisierung

2

Anlegen eines Gast Templates

Example: Contractor that will be on your premises some days, over the next 3 weeks.
SmartPass can restrict access to only the days and hours contractor is on campus.
Other vendors only control total duration…allowing access 24/7 for the entire period.


4. Beste Architektur für zuverlässige Voice-Anwendungen in
Festnetzqualität
5.
6.
7.
8.
9.


Optimale Architektur für WLAN-Telefonie

Anchored Mobility – Basic Roaming Smart Mobile - Seamless Mobility

Mobility
Controller A Controller B Controller A Domain Controller B
A A

Subnet 1 Subnet 2 Subnet 2
Subnet 1

Client A on Client B on Client A on Client B on
Subnet 1 Subnet 1 Subnet 1 Subnet 1

• Abhängigkeit vom “Home” Controller • Unabhängig vom “Home” Controller
• Unnötige Round-Trips durchs Netzwerk • Optimierter Datenfluss durch die Infrastruktur
• Keine Kenntnis über Client-Roaming • Kenntnis im Voraus über Client-Roaming
• Nicht imun gegen Controller Ausfall • Höchste Verfügbarkeit in der Infrastruktur
• Timeouts und Callabbrüche möglich • Festnetzqualität ohne Abbrüche

Optimale Architektur für WLAN-Telefonie

Beste Voice Performance
 Getestet wurden Cisco, Siemens, Aruba,
Trapeze im Dezember 2007
 Trapeze hat als einziger in allen Bereichen
ein “gut” erhalten



Festnetzqualität
5. Identisches Managementmodell Indoor und Outdoor
6.
7.
8.
9. .


Self-Optimizing, Self-Healing Mesh

• Verschiedene Mesh-Pfade möglich

• Mesh Portale bieten Mesh Service an

• AP wählt besten Pfad zum Mesh-Portal

• “Station Switching Records” werden im
Netz announciert

• Mesh Portal steuert Firewallregeln und
Policies

• Selbstheilung im Falle eines blockierten
Pfades

• “Station Switching Records” werden neu
announciert


Indoor / Outdoor Access Points

MP-422 MP-82 MP-432 MP-620 MP-632
Indoor Indoor Indoor Outdoor Outdoor
2 Radio 2 Radio 2 Radio 2 Radio 2 Radio
a/b/g 2*3 MIMO 3*3 MIMO a/b/g 3*3 MIMO
a/b/g/n a/b/g/n a/b/g/n
Mesh and Mesh and Mesh and Mesh and Mesh and
Bridging Bridging Bridging Bridging Bridging


Festnetzqualität
6. Höchste Verfügbarkeit, Non-Stop Infrastruktur
7.
8.
9.


Smart Mobile Clustered Switching
Today’s Limited Approach Smart Mobile – Clustered Approach
Hot Stand-by Back-
up Switch

Switch A Switch B Switch C

Unabhängige Switche agieren ohne direkte Geclusterte Switche agieren kollektiv wie ein
virtueller Controller
Verbindung
Optimalie Skalierbarkeit – Resourcen können
Skaliert nicht optimal
dynamisch hinzugefügt werden
Eingeschränkte Hochverfügbarkeit – APs Höchste Verfügbarkeit – APs werden
werden statisch auf Controller gemappt automatisch gemappt und dynamisch
umverteilt wenn nötig
Eingeschränkte Redundanz – N+1 (Abhängig Always-on Redundanz – Jeder Switch kann als
von der Anzahl bereitgestellter Backup-MX) Backup fungieren

Management anspruchsvoller, hohe “Cost of Einfaches Management, single point of
ownership” configuraton niedrigste “Cost of ownership”


2. Lastverteilung und Kapazitätsmanagement
Festnetzqualität
7. Führende Wireless IDS/IPS mit dynamischen
Gegenmaßnahmen
8.
9.


Trapeze Multi-Tiered WLAN Security
Web Portal with
Integrity Check
Web Portal with Location
Check 
Intrusion
 LA-200

Untrusted Client
Untrusted Client

AAA
Servers
SmartPass
X
Rogue AP
Detection &
Protection

802.1X
Authentication
Strong
RingMaster

X
Rogue User
Encryption
Application
Trusted Client Firewall

Verschlüsselung Endgerätekontrolle Firewall Angreifer Abwehr
• 802.1X, EAP-TLS, • Trusted Network Connect • Application-aware QoS • Core WIDS/WIPS
PEAP, TTLS, MAC, (Trusted Computing scheduling, location and • Scan, detect, locate,
Web, ... Group) security filtering disable Rogues
• 802.11i, WPA2, WPA, • Microsoft Network Access • Time and location based • Automatically classify
AES, CCMP … Protection (NAP) access control and disable Rogues
• Juniper Networks Unified • Location aware access
Access Control (UAC) control
• Dynamic Authorization
changes


IDS/IPS Erkannte Angriffe

• Rogue access points • Spoofed access point mac-address attacks
• Interfering access points • Spoofed client mac-address attacks
• Rogue 802.11 clients • Ssid masquerade attacks
• Interfering 802.11 clients • Spoofed deauthentication attacks
• Spoofed disassociation attacks
• 802.11 adhoc clients
• Null probe responses
• Unknown 802.11 clients
• Broadcast deauthentications
• Interfering 802.11 clients on wired LAN • FakeAP ssid attacks
• 802.11 probe request flood • FakeAP bssid attacks
• 802.11 authentication flood • Netstumbler clients
• 802.11 null data flood • Wellenreiter clients
• 802.11 mgmt type 6 flood • Active scans
• 802.11 mgmt type 7 flood • Wireless bridge frames
• 802.11 mgmt type d flood • Adhoc client frames
• 802.11 mgmt type e flood • Access points present in attack-list
• Access points not present in ssid-list
• 802.11 mgmt type f flood
• Access points not present in vendor-list
• 802.11 association flood
• Clients not present in vendor-list
• 802.11 reassociation flood • Clients added to automatic black-list
• 802.11 disassociation flood
• Weak wep initialization vectors

Führendes wireless IDS/IPS

 Führend bei WLAN Sicherheit
 Studie über die Top 11 WLAN Anbieter
 Trapeze auf Platz #1
*20-seitiger Bericht verfügbar
 Unabhängige Studie



Festnetzqualität
Gegenmaßnahmen
8. Fortschrittlichstes RF Planungstool und WLAN-
Management
9. .

RingMaster™

Eine Applikation für komplette
Lebensdauer
Benutzer- und Rechteverwaltung
Client-Server Konzept
Win, Linux, Mac OS X
RingMaster Bestandteile
Komplette Simulation und HF-
Planung
Konfigurationsmanagement
Monitoring Display
Reporterstellung
Integration und Automatisierung
Vermeiden von
Konfigurationsfehlern
Schnellere Erkennung von
Problemen
Effizientere Planung

Zentrales Lifecycle Management

 Integrierte
WLAN-Planung

 Netzwerkweite
Konfiguration

 Umfangreiches
Monitoring

 Kontinuierliche
Überwachung der • Planen kompletter Gebäude
• Bestimmt Anzahl und Ort benötigter Access Points
Performance und • Manuelle Korrekturen und Verdichtungen möglich
Optimierung • Erstellt Ausleuchtung und Arbeitsauftrag

40

Zentrales Lifecycle Management

 Integrierte
WLAN-Planung

 Netzwerkweite
Konfiguration

 Umfangreiches
Monitoring

• Dashboard-Ansicht
 Kontinuierliche
• Fehler- und Alarmzuordnung
Überwachung der • Detailansichte
Performance und • Anpassbare Reports
Optimierung • bis zu 30 Tage History
43


2. Lastverteilung und Kapazitätsmanagement
Festnetzqualität
Gegenmaßnahmen
8. Fortschrittlichstes RF Planungstool und WLAN-
Management
9. Integration von RTLBS Real Time Location based
Services

Trapeze Location Appliance™

Lokalisierungsserver sammelt und wertet die RSSI Daten aller Clients aus, die
von den APs gesendet werden
Raumgenaue Ortung durch Vergleich mit vorher genommenen RSSI Fingerprints
der Räume
Überwachung von IEEE 802.11 Geräten OHNE spezielle Clientsoftware
RFID- Tags, WLAN-Telefone, PDAs, Laptops

Hohe Präzision (99 % Raumgenau)
Geringe Verzögerung (“fast” in Echtzeit: 20 bis 60 sec)
Hohe Skalierbarkeit (Überwachung von 1000en Geräten gleichzeitig)


Anwendungen

• Häufige Anwendungsfälle
• Monitoring – Endgeräte und Rogue
Monitorung und Auditing
– Branchen: Unternehmen, Universitäten
• Location based access control – “RF
Firewall” w/ “grey” access
– Branchen: Unternehmen, Universitäten
• Asset Tracking – Ortung wertvoller
Assets verbessert Prozesse
– Branchen: Krankenhaus, Hotels
• Location Based Content Delivery –
Kontextabhängige Datenzugriffe je nach
Aufenthaltsort des Users
– Branchen: Krankenhaus, Museums /
Messen


Die Komplettlösung – RF Firewall

• Location based access
control application
(SmartPass)
• Verwaltung von Regeln zur
Steuerung des Userzugriffes
basierend auf Ort,
Datentransfer, Username,
SSID, etc..
• Möglichkeit von “allow” und
“deny” Regeln basierend auf
dem Aufenthaltsort des Users


Trapeze WLAN-Lösung

Recommandé

Recommandé

Contenu connexe

En vedette

En vedette (20)

Similaire à Trapeze WLAN-Lösung

Similaire à Trapeze WLAN-Lösung (20)

Plus de netlogix

Plus de netlogix (20)

Trapeze WLAN-Lösung