Dlaczego warto zastosować architekturę controller-less w rozwiązaniach WLAN od Aerohive?

Kiedy po raz pierwszy usłuszałem o rozwiązaniach do sieci bezprzewodowej firmy Aerohive, pomyślałem sobie: „Kolejny producent, to samo w środku, tylko z niższą ceną”. Jakże byłem w błędzie.
Wielkie koncerny prześcigają się w nowych trendach, jak Unified Access, czy BYOD, oferując przy tym nowe produkty, nowe licencje i astronomiczne ceny. Systemy, które mają być proste i wygodne w użytkowaniu stają się koszmarem kosztowym. Systemu te oferują ciekawe rozwiązania dla systemu gościnnego i BYOD, jednak kosztem dodatkowych urządzeń oraz licencji. Na końcu ktoś musi to skonfigurować… Osoby, które miały okazję wdrażać systemy do identyfikacji użytkowników znanych producentów, na pewno zgodzą się, iż jest to nie lada wyzwanie.
W rozwiązaniach WiFi od Aerohive ciężko jest znaleźć minusy. Plusów natomiast jest bardzo dużo. Każdy w Twojej organizacji znajdzie coś dla siebie. CIO doceni środowisko bez kontrolera, gdzie unikamy inwestycji początkowej, w światowej klasy rozwiązanie WiFi. CSO doceni rozwiązania do dostępu gościnnego oraz BYOD, które są realizowane przez punkty dostępowe. Administrator sieci WiFi doceni prostotę konfiguracji połączoną z funkcjami przerastającymi, te dostępne w rozwiązaniach konkurencji.

Model, Który Pokocha CFO

Zacznijmy od CIO. Nikt nie lubi inwestować w rozwiązania, które nie są sprawdzone i nie przyjmą w naszej organizacji. System do zarządzania HiveManager jest dostępny w trzech modelach: fizyczne urządzenie, maszyna wirtualna, albo SaaS. Kupując jeden access-point, router, albo przełącznik oraz licencję do systemu zarządzania w chmurze, otrzymujesz w pełni funkcjonalne środowisko klasy enterprise. Aerohive nie wprowadza tu żadnych dodatkowych kosztów, związanych z licencjami. Kupując 1, czy też 1001 punktów dostępowych uzyskasz dostęp do tego samego środowiska, z tymi samymi benefitami.
Cała inteligencja rozwiązań Aerohive nie leży w kontrolerze, który jest widoczny u innych producentów, lecz jest rozproszona na wszystkie punkty dostępowe należące do jednego Ula (Hive). Zapewnia to możliwość pracy urządzeń w pełnej funkcjonalności, jeżeli nawet pojawił się problem z dostępem do lokalnego, albo dostępnego w chmurze HiveManager’a.
Mógłbyś zadać pytanie, czy wdrożenie takiego rozwiązania jest skomplikowane? Czy potrzebujesz ekspertów? Dobry specjalista na pewno pomoże w bardziej zaawansowanych rozwiązaniach, ale punkty dostępowe Aerohive są dostarczane w systemie „Ship & Connect”. W chwili otrzymania punktu dostępowego wystarczy go podłączyć do sieci, a proces podłączenia do systemu zarządzania i do Ula nastąpi automatycznie. Jest to niesamowicie wygodne, w momencie wdrażania sieci WiFi w oddziałach, gdzie nie potrzebujemy nikogo technicznego, aby dany access point skonfigurować.
Chciałbym, abyś zapamiętał, że cały ruch produkcyjny w Twojej sieci, jest przenoszony tylko pomiędzy punktami dostępowymi. Cały system zarządzania służy tylko do przesyłania nowej konfiguracji do urządzeń oraz monitorowania pracy sieci WiFi.
Jeżeli jednak boisz się rozwiązań w chmurze, ale również nie chcesz kupować systemu zarządzania dla kilku-kilkunastu punktów dostępowych, możesz skorzystać z trybu managed-service. Moja firma (Netformers) świadczy to rozwiązanie. System HiveManager znajduje się w naszym Data Center. Możesz powierzyć nam całkowitą konfigurację i monitoring, albo skorzystać z dostępu do HiveManager w wygodnej dla Ciebie formie.

Dostęp Gościnny – Bolączka CSO

BYOD nie jest tylko skrótem, wymyślonym przez ludzi z działów marketingu. BYOD (Bring Your Own Device) stał się codziennością w niemalże każdej firmie w Polsce. Jak Aerohive może Ci pomóc w bezpiecznym podejściu do tego nowe trendu?
Aerohive wprowadza dziesiątki funkcji, które ułatwią zarządzanie bezpieczeństwem w sieci WiFi. Chciałbym Ci przedstawić kilka z nich.
Aerohive wprowadza pojęcie PPSK (Private Pre-Shared Key). W dużym skrócie jest to prywatny klucz, stworzony dla każdego z użytkowników, albo gości, wykorzystujących jedno SSID. Nie musisz się martwić, że Twoja sieć używa jednego hasła. Nie musisz się martwić, że dane hasło może pozostawać w posiadaniu ludzi, którzy nie powinni go posiadać.
Można to rozwiązanie nazwać tanim 802.1x. Z poziomu systemu zarządzania możemy wygenerować prywatny klucz dla każdego użytkownika. Każdemu użytkownikowi może zostać przypisany adres MAC (albo kilka) oraz czas, w jakim jego hasło będzie dostępne. Po, krótkiej i prostej konfiguracji, wystarczy kliknąć jeden przycisk. HiveManager wyśle hasło poprzez email do każdego interesanta. Z poziomu systemu możesz również zabierać dane uprawnienia.
Mógłbyś powiedzieć, że do danego rozwiązania potrzebujemy serwera Radius. Przecież architektura miała być rozproszona? Dokładnie tak jest. Każdy z punktów dostępowych posiada wbudowany serwer Radius. Tak więc, każda zmiana użytkownika używającego PPSK, czy też informacje z Active Directore wykorzystywane w 802.1x, są propagowane do każdego punktu dostępowego. W momencie utraty połączenia punktów dostępowych z centralą, pełna funkcjonalność pozostaje zachowana.
Wróćmy do dostępu gościnnego. Urządzenia Aerohive posiadają również wsparcie dla protokołu IPSec. Jest to o tyle ważne, że możesz tego używać do terminowania ruchu gościnnego. Umieszczając jeden z punktów dostępowych w strefie DMZ, cały ruch gościnny może w bardzo prosty i bezpieczny sposób opuścić Twoją sieć. Dodatkowo stosując PPSK możesz zapewnić monitoring danych użytkowników. Na chwilę obecną nie nam bardziej bezpiecznego podejścia do separacji ruchu gościnnego od produkcyjnego.

Rozproszenie Mocy Dla Administratora

Przyjrzyjmy się teraz najciekawszemu aspektowi, czyli do czego ma dostęp administrator w sieci WiFi.

Gdy podłączysz punkty dostępowe od Aerohive do swojej sieci, odczujesz dreszcz przyjemności. Access point sam znajdzie HiveManager’a i zarejestruje się w nim (tworząc zaszyfrowany tunel). Aerohive podszedł również w bardzo mądry sposób do systemu upgrade, backup i restore. Nawet używając modelu w chmurze, to Ty decydujesz, kiedy wykonać upgrade swoich urządzeń. Jest to niezwykle ważne, gdyż Aerohive wspiera każdą możliwą kombinację systemu operacyjnego na punktach dostępowych i w systemie zarządzania. Stracisz dostęp do nowych funkcji, ale to Ty zdecydujesz, kiedy zrobisz upgrade urządzeń kupowanych w 2009 roku.
Gdy Twoja firma postanowi, że już czas przenieść się z lokalnego systemu do chmury, albo odwrotnie, wystarczy kilka kliknięć i cała konfiguracja zostaje przeniesiona tam gdzie tego potrzebujesz.
W momencie, gdy konfigurując pojedynczy punkt dostępowy, np. podając niepoprawny adres IP, masz dwie opcje. Urządzenie może samo wrócić do działających ustawień, albo zasymulować połączenie konsolowe, jako unikalny SSID w sieci WiFi. Wystarczy, że się podłączysz, wykonasz restet, albo rekonfigurację. Urządzenie posprząta po sobie, usuwając wirtualne połączenie konsolowe i nawiąże komunikację z Ulem. Ty natomiast nie będziesz potrzebował kabli, drabin i szukania access point’ów.

Przyjrzyjmy się jeszcze przez chwilę jak punkty dostępowe realizują komunikację pomiędzy sobą. Istnieje kilka opcji. Najciekawszą jest użycie dodatkowych połączeń na paśmie 5 GHz pomiędzy punktami dostępowymi i zaoferowanie dostępu dla klientów na paśmie 2,4 GHz (można też użyć 5GHz). W chwili, gdy Twój punkt dostępowy straci połączenie poprzez Ethernet i posiada oddzielne zasilanie, punkt dostępowy użyje kanału bezprzewodowego do transportu danych użytkowników, do najbliższego punktu dostępowego. Jest to o tyle ciekawe, że możesz budować polityki, które określą, że część ruchu ma być przenoszonych drogą przewodową, a część drogą bezprzewodową, bez straty funkcjonalności.

Pamiętasz konfigurację roamingu w systemach opartych o kontroler? Nie jest to najprzyjemniejsza rzecz na świecie. Aerohive używając rozproszonego controll plane i data plane, sprawia, że cała inteligencja związana z roamingiem L2, albo L3, pozostaje na punktach dostępowych. Kontroler jest tu zbędny…. Ponieważ go nie ma.

Dodatkowym plusem środowiska z centralnym zarządzaniem, ale bez kontrolera, jest zarządzanie ustawieniami bezpieczeństwa i QoS już na brzegu sieci. Zarządzasz wszystkim w jednym punkcie, a cała polityka jest propagowana do wszystkich urządzeń końcowych. Rozwiązania Aerohive używają stateful firewall w każdym punkcie dostępowym. Możesz więc blokować, w sposób skalowalny, ruch w dowolnym kierunku opuszczający sieć bezprzewodową, dla dowolnej sieci bezprzewodowej (SSID). Z poziomu punktu dostępowego ruch gościnny może być dozwolony tylko na porcie 80 i 443, a dodatkowo możesz temu ruchowi ograniczyć pasmo do 100 Kb/s i założyć dodatkowe markowanie, aby egzekwować kolejne polityki QoS wewnątrz sieci.
Na koniec warto wspomnieć również o warstwie sieciowej. Część z punktów dostępowych Aerohive ma wsparcie routera. Oznacza to, że możesz zaterminować na nim połączenie WAN, oraz podłączyć dodatkowo połączenie zapasowe poprzez modem 3G (poprzez USB). Jest to genialne rozwiązanie dla oddziałów. Funkcje bezpieczeństwa, jak wsprawcie dla IPSec oraz stateful firewall, PPSK zapewnią bezpieczeństwo dla użytkowników. Funkcje routingu zapewnią przełączenie ruchu na połączenie 3G w momencie awarii głównego łącza. Wbudowany przęłącznik, ze wsparcie PoE (niektóre modele), pozwoli Ci podłączyć dodatkowo telefon IP, albo dodatkowy punkt dostępowy.

Bonus – Hive Manager 6.0

Za kilka dni pojawi się HiveManager 6.0. Jest to o tyle interesujące, ponieważ system ten przedstawia dwie bardzo ciekawe funkcje.
Pierwsza z tych funkcji to inspekcja ruchu w warstwie aplikacji. Możesz w bardzo prosty sposób, zobaczyć, kto i gdzie używa w tej chwili YouTube, uniemożliwiając pracę z SalesForce, albo z innymi aplikacjami biznesowymi pracującymi po http i https. Dlaczego ten ruch ma być przenoszony przez całą Twoją sieć i analizowany dopiero na styku z internetem przez Next Generation Firewall, albo system URL Filtering. W HiveManger 6.0 możesz dokonać takiej inspekcji i zastosować odpowiednie polityki bezpieczeństwa (bez dodatkowych licencji) już na punkcie dostępowym. Możesz tego dokonać per użytkownik, albo per sieć. Proszę zapamiętaj, że nie piszę tu o prostym filtrowaniu w warstwie transportowej, opartej o numery portów, leczo pełnej filtracji aplikacyjnej. Z poziomu zarządzania możliwe jest nałożenie tak ciekawych polityk, jak np. zablokowanie funkcji search w Facebook.

Drugą, jakże ciekawą opcją, jest wsparcie dla Google Maps. Jeżeli Twoja firma posiada kilkadziesiąt oddziałów, możesz w prosty sposób planować sieć WiFi, bez potrzeby używania plików .cad, albo ręcznego „rysowania” budynków. Wystarczy wpisać adres swojej placówki, zaznaczyć ściany z poziomu Google Maps i jesteś w stanie robić pierwsze Site Survey dla swojej sieci.
Jeżeli chcesz dowiedizeć się więcej, to odsyłam Cie do YouTube (YouTube -> HiveManager 6.0 demo)

Podsumowanie

Gdy po raz pierwszy usłyszałem o Aerohive, miałem podobne odczucie jak Ty w tej chwili – „Gdzieś musi być haczyk”. Otóż nie. Rozpoczęcie pracy z systemem jest banalnie proste. Wystarczy Ci dwa punkty dostępowe i otrzymujesz dostęp do wszystkich funkcji opisanych powyżej. Bez dodatkowych kosztów związanych z licencjami masz prawo do korzystania z pełnej funkcjonalności urządzenia. Dodatkowo rozwiązanie jest tańsze o rozwiązań konkrurencji, bez poruszania nawet tematu kontrolera, którego nie potrzebujesz. Tak! Kontroler jest rzeczą zbędną. Bardzo łatwo jest myśleć inaczej, w momencie, gdy jest to standard w korporacyjnych sieciach WiFi.
Zachęcam Cię, drogi czytelniku do zapoznania się z ofertą firmy Aerohive. Zachęcam Cię również do kontaktu z moją firmą, w celu przetestowania rozwiązania w Twojej firmie. Zachęcam Cię do zazniania przyjemności, którą ja odczułem podczas wdrażania sieci WiFi bez kontrolera, z wszystkimi funkcjami, jakich Twoja firma potrzebuje.