這次我們測試的Cisco 5508 Wireless Controller(以下稱為5508)是該廠牌無線網路控制器的最高階型號,在出廠時即已內建100臺精簡基地臺(Thin AP)的管理授權。而它和4400、2100等型號的設備相比,其特別之處在於可以另外購買授權,擴充受管基地臺的數量,在韌體為Wireless LAN Controller Software 7.0版本的情況下,最多能達到控管500臺Thin AP,或者7,000臺用戶端裝置的規模。
另外,除了以單一設備推出的硬體產品之外,原廠也推出安裝在Catalyst 6500交換器機箱的Wireless Services Module(WiSM)線卡,可提供300臺Thin AP的管理功能。
Wireless LAN Controller Software 7.0除了擴大設備控管的無線網路規模之外,它還加入了Video Stream及CleanAir等2項新功能,從而改善無線網路訊號的傳輸效果。另外,該版韌體它也支援Federal Information Processing Standards(FIPS)的美國聯邦資訊處理標準。
而與Thin AP之間的連線,不只是支援Cisco既有的Lightweight Access Point Protocol(LWAPP)協定,該版韌體也同時支援2009年開始成為業界標準的Control And Provisioning of Wireless Access Points(CAPWAP)協定。其中,CAPWAP已經取代LWAPP,成為Cisco無線網路設備預設使用的連線協定,使得無線網路控制器的設備能夠同時管理其他第3方廠商所推出的基地臺。
而在相容性的方面,由於CAPWAP是在LWAPP的基礎上所研議而成,因此採用CAPWAP協定的控制器,仍然可以和採用LWAPP的舊款Thin AP進行連線,達成無線網路的無縫升級。
能將Thin AP設備區分為多個群組,並各自傳送不同的SSID
5508採用多達8組的SFP埠做為網路介面,使得設備可以透過不同的SFP埠,連接內部網路的多個VLAN,與散布在各處的Thin AP建立連線,或者搭配支援802.3ad協定的交換器,將一部分或者全部的SFP埠,集結為單一的虛擬網路埠,加快這款設備與Thin AP之間的資料傳輸速度。
這次受測的5508與Thin AP都是放置在相同網段,環境當中並沒有設置任何VLAN,因此不需借助於DHCP伺服器,傳送連線所需的相關資料(Option 43),因此在Thin AP開機之後,就能直接向無線網路控制器完成註冊,建立2者之間的連線。
我們可以透過5508將受管的Thin AP區分為多個群組,讓每個群組各自傳送不同的SSID,管理不同部門的使用者所能存取的無線網路。
設定SSID時,企業可以採取802.1x,乃至於最為簡單的共享金鑰(PSK)等多種方式驗證使用者存取無線網路的權限。在測試環境當中,我們規畫了員工及訪客專用,一共2組的SSID,其中,員工使用的SSID會透過802.1x,連接一臺微軟的IAS伺服器,向RADIUS要求驗證,最多可以連接3臺不同的RADIUS伺服器,要求檢查使用者傳送的帳號、密碼,當設定列表當中的第1臺伺服器故障之後,Thin AP就會試圖向下一臺伺服器詢問資料的真實性,決定是否授予存取網路的權限。而在RADIUS伺服器的類型為Cisco自家的ACS時,還可以帶入更加完整的權限管理,使得存取防護更加嚴密。
至於訪客使用的SSID,我們則透過網頁驗證的方式,透過設置於5508的本機使用者帳號檢查身分(也可以視需求而換用RADIUS等外部驗證伺服器)。當訪客裝置連上SSID之後,開啟瀏覽器時,畫面就會自動轉向到5508,要求輸入正確的密碼,才會放行通過。而在多數企業皆不開放訪客存取內部網路的狀況下,可以同時開啟SSID設定當中的「P2P Blocking Action」功能,限制裝置僅能瀏覽外部網路,對於環境當中有設置VLAN的企業來說,則可以透過Access control list(ACL),進行更彈性的設定。
在安全功能方面,除了加入驗證,防止外部使用者隨意盜連之外,5508也可以整合Cisco的NAC產品,於使用者通過驗證之後,先行檢查裝置的健康狀態,將未能符合需求的裝置,隔離於企業網路之外。
至於新的CleanAir,是Cisco於2010年發布的技術,透過Thin AP內部ASIC晶片的運算,使得來自周圍其他射頻裝置的干擾得以降低,目前只有Aironet 3500系列的設備支援此一功能。
搭配Wireless Control System套件,集中管理多臺控制器
5508內建1組GbE介面的管理埠,使得管理者可以透過Out-of-band的方式,連接設備的網頁及Telnet/SSH介面,而在部署設備時,我們也可以開放特定的SFP埠,使其具備連接設備管理介面的能力。
另外,企業也可以另外購買Wireless Control System(WCS)的軟體套件,安裝在Windows或者Linux的平臺,透過網頁的單一介面,管理內部網路當中的多臺無線網路控制器。它的安裝檔可以從原廠網站下載,同時申請10臺Thin AP的管理授權,於30天的試用期限內使用各項功能。
而在備援方面,我們可以為每臺Thin AP,或者個別不同的Thin AP群組,設定一份無線網路控制器的清單,最多可以加入3臺設備。而且,設備有一項名為「Master Controller Mode」的設定,開啟之後,該臺設備即成為主要的無線網路控制器,在Thin AP沒有預先建立無線網路控制器列表的情況下,Thin AP會自動與之連線。
內建無線網路IDS,並能搭配無線網路IPS設備提供更強大的防護
5508本身即內建Wireless Protection Program(WPP)的基本無線網路IDS(WIDS)功能,可以監控用戶端裝置的連線行為,並能透過郵件及報表等方式,當連線被判定為DDoS,或者是側錄流量等型式的惡意攻擊時,即向管理者發出警告。但該功能的特徵碼僅能隨著韌體更新而增加,而無法透過線上方式進行更新。
而搭配Mobility Services Engine(MSE)的Cisco無線網路IPS(WIPS)設備,則可提供更為強大的防護功能。它是根據從WCS收集所得的資訊,監控用戶端裝置的連線行為,並能阻斷惡意攻擊的連線,同時透過感測器的裝置,偵測內部網路及其四周有無非法架設的基地臺(Rogue AP),同時防範內部的使用者與之連線。
在部署上,企業並不需要為MSE,而額外購買專用的感測器裝置,僅需將Thin AP在控制器或者WCS的管理介面,切換為Monitor模式後,就能擔任此一角色。
基地臺可以視需求更換韌體,做為Fat AP使用
和5508同時借測的Aironet 1142是一款802.11n的基地臺,它和Cisco大多數的Thin AP設備一樣,可以隨著企業的需求不同,以更換韌體的方式,轉為Fat AP使用。
Aironet 1142的天線架構為2發3收,採用印刷電路的方式隱藏於機身內部,能透過2.4及5GHz等2個頻帶傳送無線網路的訊號,而同系列當中的Aironet 1160則是外接式天線的機型,企業可以另外購買增益更高的天線延長,或者修改訊號的涵蓋範圍。這臺設備可以透過外接電源,或者是搭配802.3af規格的PoE交換器,獲得所需電力
搭配本次測試的Aironet 1142可外接專屬的電源供應器,或者連接PoE交換器,取得運作所需的電力。
透過Cisco的WCS套件,企業可以利用單一網頁介面,管理內部網路當中的多臺無線網路控制器。
產品資訊
|
建議售價●廠商未提供 原廠●Cisco 原廠電話●(02)8758-7100 原廠網址●www.cisco.com 受管基地臺數量●100臺(可以擴充到500臺) 網路介面●SFP×8 無線網路管理功能●Video Stream、CleanAir,及Wireless Protection Program(WPP)等 設備尺寸●440×539×44.5mm 管理埠●RS232 × 1,GbE × 1
|
【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】
熱門新聞
2024-11-04
2024-11-02
2024-11-04
2024-11-05
2024-11-05
2024-11-04