Upload
lybao
View
235
Download
5
Embed Size (px)
Citation preview
シスコ無線LAN : 提案入門編 その3
シスコシステムズ合同会社
エンタープライズネットワーキング事業
ユニファイドアクセスグループ
2014年6月12日
ネットワーク基礎トレーニング
Cisco Confidential 2 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
ここで差別化! 便利な付加価値・機能・ソリューション
Cisco Confidential 3 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
本日のアジェンダ
–モバイル端末増加、トラフィック急増対応 11ac & HDX(Cisco High-Density Experience)
-ネットワーク全体の最適化 Cisco Unified Access
-無線LAN通信の最適化 AVC (Application Visibility & Control)
-無線LANセキュリティ
不正アクセスポイント検出
Cisco Confidential 4 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
オフィス内のモバイルデバイスが急増している!
課題
Cisco Confidential 5 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
新しいオフィスネットワークの ”かたち”
多数かつ多様なデバイス
限られたオフィス
端末の密集
=
+
1つのアクセスポイントで、多くの人、そしてデバイスを利用しなければならない。
オフィスのスペースと人数はかわらなくとも、モバイル端末数の増加対応が必要
Cisco Confidential 6 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential 7 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
802.11ac: 新しい無線LANの規格
11ac が必要とされる理由
2017年 50%以上の企業向けトラフィックは無線
LANを通じて行われる。
2014年 新しく出荷されるモバイルデバイスの半数
以上 (50%以上)が 802.11ac対応となる (ABI
Research)
この先5年間のスマートフォン及びタブレットで必要
とされるキャパシティは11acで対応可能。
2倍以上のバッテリー効率化 “802.11ac Wave 1”
のテクノロジーにより端末のバッテリーの消費電力
が抑えられる。
Cisco Confidential 8 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Wi-Fi テクノロジーの変遷 Gigabit Wi-Fi が当たり前の時代に
4SS デスクトップ
3SS デスクトップ/ノートパソコン
2SS ノートパソコン/タブレット
1SS タブレット/スマートフォン
*Assuming 80 MHz channel is available and suitable
**Assuming 160 MHz channel is available and suitable
802.11 802.11n 802.11b 802.11a/g 802.11ac Wave 1
802.11ac Wave 2
2 11
24
54
65
600
450
300
6900** 6900**
3500**
2340**
1730** 1300*
290* 290*
= 通信速度(Mbps)
= 空間ストリーム(Spatial Streams) SS
1997 1999 2003 2007 2013 2015(未定)
Gig
abit
Et
her
net
U
plin
k
2 G
igab
it
Eth
ern
et
Up
links
1 Spatial Stream
8 Spatial
Streams
2 Spatial Stream
4 Spatial
Streams
870*
Cisco Confidential 9 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
業界唯一の4x4: 3 MIMO RFデザイン
802.11ac Wave1を標準搭載した 5GHz無線 1.3 Gbps PHY : 3空間ストリーム, 20/40/80 MHzチャネル, 256 QAM 802.11ac標準のビームフォーミング(ECBF)に対応 5GHz無線対応‐802.11a, .11n、そして.11acクライアントをサポート
柔軟なビジネスを可能にするモジューラアーキテクチャ
セキュリティモジュール、将来の11ac Wave 2モジュール(予定)を搭載可能
High Density Experience “HDX” 高密度対応ソリーション Predictive Noise Reduction:隣接した高密度なクライアント環境でも3700は安定
ClientLink 3.0 with 11ac & ECBF が並行して、信号品質とスループットを向上
CleanAir on 80 MHz: 最適なチャネル選択で使用できるようリアルタイムに干渉を発見
シスコ無線LAN フラッグシップモデル Aironet 3700シリーズ概要 業界最高性能の11ac高密度にも対応した最先端テクノロジーを搭載
Cisco Confidential 10 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
3x4: 3 MIMO RFデザイン
802.11ac Wave1を標準搭載した 5GHz無線 1.3 Gbps PHY : 3空間ストリーム, 20/40/80 MHzチャネル, 256 QAM 802.11ac標準のビームフォーミング(ECBF)に対応 5GHz無線対応‐802.11a, .11n、そして.11acクライアントをサポート
最新安定化テクノロジー搭載 オプティマイズローミング : シームレスなローミング*近日リリース RFノイズリダクション : 障害緩和と効率的なチャネル設計を最適化 *近日リリース
High Density Experience “HDX” 高密度対応ソリーション Predictive Noise Reduction:隣接した高密度なクライアント環境にも対応
ClientLink 3.0 with 11ac & ECBF が並行して、信号品質とスループットを向上
CleanAir on 80 MHz: 最適なチャネル選択で使用できるようリアルタイムに干渉を発見
シスコ無線LAN 11ac(wave1)対応ミッションクリティカルモデル Aironet 2700シリーズ概要 最新11ac搭載、通信の安定性が重要視される環境に最適
Cisco Confidential 11 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
DSP CPU 512 MHz
DRAM (128MB)
DSP
シスコ専用 AP デザイン
DRAM
(512MB)
Dual-Core*
CPU 800 MHz
シスコの専用設計アクセスポイントにより周波数帯毎に4本のアンテナを持ち、通
信安定性を実現します
メインCPUに加え、周波数帯毎にCPU及びDRAMを持つ事
でキャパシティを強化.
Radio – 5GHz
CPU 384 MHz
DRAM (128MB)
Radio – 2.4GHz
専用設計アクセスポイントによりキャパシティ強化を実現
従来の AP デザイン
DRAM
(512MB)
Dual-Core
CPU
800MHz
Radio – 2.4GHz
Radio – 5GHz
1つのCPUですべての周波数帯の通信を処理
1x Dual-Core
Processors
6x Total (1x Dual-Core, 2x
Radio, 2x DSP)
512MB Memory
768MB
*1 Core Enabled Today, 1 Reserved for Future Use
他社製品 Cisco AP2700 and AP3700
安定した通信と高密度対応を両立させます
Cisco Confidential 12 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
マルチクライアントパフォーマンス テスト結果
0
50
100
150
200
250
300
350
5 10 15 20 25 30 35 40 45 50 55 60
通信速度(
MEG
AB
ITS
PER
SEC
ON
D)
端末数
TCP Downlink Throughput 5GHz Multi -Client: Sixty 802.11ac Clients
HDX Multi-Client YouTube video:
http://www.youtube.com/watch?v=C8gfnCVm-3o&
Performance 最大60台の端末同時接続テスト
200Mbps以上を維持
Cisco Confidential 13 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
無線LANの高速化対応 IOS-Based Wireless Controller
これからのネットワークに必要な機能 Application Visibility and Control , and more.
柔軟な冗長性 Centralized or Converged
Cisco 5760 Wireless LAN Controller
ハイパフォーマンス 60Gb スループット, 1,000APs, 12,000端末対応
シスコのユニファイドアクセス用に新設計
Unified Access Data Plane (UADP) ASIC搭載
11acの技術を最大限に活かす高速コントローラー
Cisco Confidential 14 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
高密度対応
オフィスの人、スペースはかわらなくとも、モバイル端末数が増えて行く
端末の増加とともにトラフィック量も増加
↓
アクセスポイント1台あたりのキャパシティの強化が必要
↓
シスコの11ac対応モデルで、高密度対応を実現
11ac 積極提案 まとめ
Cisco Confidential 15 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
11acの注意点
1、有線エリアを含めた全体ネットワーク
無線LANが超高速になっても、スイッッチ、コントローラなどの高速化対応を行わないと
十分な速度は実現できません。(例:APを接続するスイッチのポートがFE(100M)の規格等)
2、Wave2のオプションにて予定されている機能(未確定)
一部機能はWave2にて実施が予定されており、Wave1では実装されていません。
1、周波数帯幅 : 160、80+80 MHz (Wave1 は最大80MHz)
2、MU-MIMO : MIMOの応用技術で複数ユーザーの同時通信を可能にする。
3、空間ストリーム数 : 最大 4 空間ストリーム (Wave 1は3空間ストリーム)
Cisco Confidential 16 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
無線LANの高速化だけでなく、有線も含めた高速化が必要。
課題
Cisco Confidential 17 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential 18 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
提案背景
【業種】 一般のオフィスはもちろん、設計事務所、放送関連、出版関連、広告関連など 【課題】
通常の業務が無線化し、トラフィクの増加のみならず、ソフトウェアの高度化にともない、動画・画像編集、CADデータ、Web会議など、大量のデータのやりとりには高速な通信環境が必要 【環境】 高速なトラフィックと、安定した通信環境が必要とされる。 モバイルデバイスの普及により、無線LANでのインフラ構築への期待 ※既にApple社製MACはデスクトップにも11acが標準搭載されている。 【ソリューション】 安定かつ、高速な業務環境を、シンプルに構築するソリューションは?
Cisco Confidential 19 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
ハイトラフィックモバイル環境対応ネットワーク
端末
ソフトウエア パッケージ
CAD 動画・画像編集
Web会議
無線LAN
ルータ
スイッチ
ネットワーク WAN
多様な端末対応 11ac 必須
ネットワーク全体の 最適ソリューションを 提案できるのはシスコだけ Cisco Unified Access
【必須】 大量のトラフィック処理 安定した通信 高速通信
Cisco Confidential 20 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
業務に重要なソフトウェアの提案の後に、、
ステップ1: 高速なトラフィック、ソフトウェアは 高性能な端末が必要です。
お客様への提案ストーリー
ソフトウエア パッケージ
端末
【必須】 大量のトラフィック処理 安定した通信 高速通信
CAD 動画・画像編集
Web会議
Cisco Confidential 21 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
ハイスペックな端末のご提案の後に、、、
ソフトウエア パッケージ
CAD 動画編集
画像編集
お客様への提案ストーリー
端末
ステップ2: 高性能な端末には、 安定したネットワークも 欠かせません。
無線LAN
ルータ
スイッチ
多様な端末対応 11ac 必須
【必須】 大量のトラフィック処理 安定した通信 高速通信
CAD 動画・画像編集
Web会議
Cisco Confidential 22 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
ハイスペックな端末のご提案の後に、、、
ソフトウエア パッケージ
CAD 動画編集
画像編集
お客様への提案ストーリー
端末
無線LAN
ステップ3: まずは無線LANから、、、、
最近はデスクトップも無線LANで つなげるケースが増えてきたので 無線LANはどれにしましょう???
多様な端末対応 11ac 必須
【必須】 大量のトラフィック処理 安定した通信 高速通信
CAD 動画・画像編集
Web会議
Cisco Confidential 23 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
ハイスペックな端末のご提案の後に、、、
ソフトウエア パッケージ
CAD 動画編集
画像編集
お客様への提案ストーリー
端末
無線LAN
ステップ3: まずは無線LANから、、、、
最近はデスクトップも無線LANで つなげるケースが増えてきたので 無線LANはどれにしましょう???
多様な端末対応 11ac 必須
【必須】 大量のトラフィック処理 安定した通信 高速通信
CAD 動画・画像編集
Web会議 No!!!
無線LANのみを高速化? 有線は???
Cisco Confidential 24 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
端末
ソフトウエア パッケージ
CAD 動画編集
画像編集
無線LAN
ルータ
スイッチ
ネットワーク WAN
多様な端末対応 11ac 必須
ネットワーク全体の 最適ソリューションを
提案できるのはシスコだけ Cisco Unified Access
【必須】 大量のトラフィック処理 安定した通信 高速通信
Cisco Unified Access なら、解決できます!! 高機能を相互連携、障害対応の迅速化や保守の一元化も可能
お客様への提案ストーリー
CAD 動画・画像編集
Web会議
Cisco Confidential 25 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential 26 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Unified Access − One Network ネットワークを、部分最適から、全体最適へ
ユニファイド アクセス
One Policy
One Management
One Network
従来の人(特定のID)、だけではなく、
デバイス、用途、接続方法の“多要素”を
セキュアかつシンプルにする一元認証システム
一元管理ツール
有線、無線、VPNを問わず、
あらゆるトラフィクの管理一元化
全体最適化かつシンプル構成
有線、無線を問わず、ネットワーク全体を
ひとつの構成ととらえ高速かつ簡素化
シスコ ユニファイドアクセスは3つの要素から構成 今回のご提案のテーマは“One Network” ネットワークの全体最適化
Cisco Confidential 27 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
よくあるネットワークの課題 ひとつひとつは高機能だが、ネットワーク全体が統一されていない。 保守は? 設定方法は? 相互接続性は?
無線LAN
ルータ
スイッチ
端末
利用者
各項目で高機能な機器を選定するも、ネットワーク全体ではツギハギ状態
増え続ける端末 と高性能化 多岐にわたる 利用者の要望
Unified Access − One Network
Cisco Confidential 28 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
端末
利用者
人とデバイスの複合 認証でシンプル管理 −One Policy
無線LAN
ルータ
スイッチ
ネットワーク全体の 最適ソリューションを 提案できるのはシスコだけ
Cisco Unified Access −One Network
Cisco Unified Access なら、解決できます!! 高機能を相互連携、障害対応の迅速化や保守の一元化も可能
管理ツール -One Management
Unified Access − One Network
Cisco Confidential 29 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
無線LANだけでなく、有線LANも高トラフィック対応を ワンストップで実現
Unified Access − One Network
ルータ -30年以上にわたるシェアNo1の実績 -IOSにより、スイッチとの相互接続性を実現 -高トラフィックにも安心のキャパシティと信頼性
無線LAN
ルータ
スイッチ スイッチ -30年以上にわたるシェアNo1の実績 −IOSにより、スイッチとの相互接続性を実現 −最新モデルでは高トラフィックにも対応
無線LAN -15年以上にわたり、テクノロジーをリードしてきた ソリューション -様々な業種、用途、規模に対応可能なポートフォリオ -最新11acの対応と、有線と無線の融合
IOS
専用OSで、ネット
ワーク全体の管理可能
30年以上の実績と信頼性
ASIC
回路から専用設計することで、信頼性と高性能を
実現
共通ソリューション
QoS
共通のOS,ハード
設計で、
ネットワーク全体で音声や動画のQoSが実現可能
Cisco Confidential 30 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
無線LANだけでなく、有線LANも高トラフィック対応を ワンストップで実現
Unified Access − One Network
ルータ -30年以上にわたるシェアNo1の実績 -IOSにより、スイッチとの相互接続性を実現 -高トラフィックにも安心のキャパシティと信頼性
無線LAN
ルータ
スイッチ スイッチ -30年以上にわたるシェアNo1の実績 −IOSにより、スイッチとの相互接続性を実現 −最新モデルでは高トラフィックにも対応
無線LAN -15年以上にわたり、テクノロジーをリードしてきた ソリューション -様々な業種、用途、規模に対応可能なポートフォリオ -最新11acの対応と、有線と無線の融合
IOS
専用OSで、ネット
ワーク全体の管理可能
30年以上の実績と信頼性
ASIC
回路から専用設計することで、信頼性と高性能を
実現
共通ソリューション
QoS
共通のOS,ハード
設計で、
ネットワーク全体で音声や動画のQoSが実現可能
ネットワーク業界をリードするシスコだから可能になる、 将来のSDN(Software-Defined Networking) につながる、未来を見据えたネットワーク
Cisco Confidential 31 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential 32 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
ユニファイドアクセス 有線無線統合アクセスソリューション Unified Access-Converged Access
ユニファイド アクセス
BOX型
モジュール型 Cisco Catalyst 4500E Supervisor 8Eにて提供も可能
Cisco Catalyst 3850 ユニファイドアクセス専用設計回路 UADP ASIC
Cisco Catalyst 3650
Cisco Confidential 33 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
従来の一般的なトポロジー
無線LANコントローラの2つの機能 ートラフィックのすべてがコントローラに集約ー
Access Points
WLC5508 WLC5508
Inter--Controller EoIP/CAPWAP tunnel AP-Contoller CAPWAP tunnel
ISE Prime
MC MA
Catalyst 2960
Catalyst 3750
Mobility Controller (MC) 主に設定と電波管理
Mobility Agent (MA) 主にトラフィックの管理
Converged Wired-Wireless Access 有線と無線の統合 これまでのネットワーク : 無線トラフィックはすべてコントローラーに集約され、処理能力がコントローラに制限される
Cisco Confidential 34 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Converged Accessを活用したトラフィック分散
ISE Prime
Access Points
• 無線LANコントローラーはMC機能を中心に無線環境の全体
管理に専念し、CatalystにMA機能を持たせトラフィックの最
適化を行う
MC 電波管理はコントローラー
MA トラフィック管理はCatalyst
WLC5760
New Catalyst 3850
MA
MC
無線トラフィックはCatalystで管理し、トラフィックの増加に対応
トラフィックのボトルネック解消!!
11acのトラフィックを許容
MC
MA
New Catalyst 3850
MA
Cisco Confidential 35 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Consistent Network Wide Intelligence
Visibility Policy Operations
Cisco One Network Environment (ONE)
• 802.11n
• CleanAir
• VideoStream
• 802.11ac Ready
• Stackpower
• Trustsec*
• AVC/Medianet*
• Granular QoS
• Smart Operations
• EnergyWise*
無線 有線
Converged Wired-Wireless Access 有線と無線の統合
480G スタッカブルスイッチ 40G WLANコントローラー
*1 year Roadmap
Cisco Catalyst 3850 シリーズで実現する最新トラフィックコントロール
コントローラー機能 スイッチ機能
シスコの新LANスイッチで無線も有線もスピードアップ!! 構成もシンプルに!
Cisco Confidential 36 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
ワイヤレス CAPWAP
スタックスイッチ全体で40Gbps
統合型コントローラ 最大 25 の AP
スタックあたり最大 1000 のクライアント
(固定型) 最大10GE × 4 (1GE x 4/10GE x 2)
全ポートでのラインレート/ EEE搭載
(オプション) 160 Gbps
スタック帯域幅
全ポート PoE+可能
FRU ファン、電源
きめ細かな QoS / Flexible NetFlow
Catalyst 3650 ユニファイドアクセスを実現するボックス型スイッチ
次世代A S I C搭載&オプションスタック機能搭載の
ボックス型 C a t a l y s t
Converged Wired-Wireless Access 有線と無線の統合
Cisco Confidential 37 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
一部ユーザーが無線の帯域を占有してしまい、他の人のスループットの速度低下をまねいている。
例:SNSばかり見ている人がいる。動画共有サイトで動画を頻繁に見ている
課題
Cisco Confidential 38 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential 39 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
無線LANコントローラ
NBAR2 ライブラリ: Deep Packet inspection
ポリシ:パケットのマーキングと Drop, QoSコントロール
トラフィック
1000+ <20
URL/HTTP Based Application
Non-HTTP Application
Enterprise Application
無線LANコントローラが1000種類以上のアプリケーション、プロトコルを自動認識
他社
リアルタイム
インタラクティブ
リアルタイム
バックグラウンド
アプリケーション識別 Cisco AVC
Cisco Confidential 40 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
無線LANコントローラがパケット調査 Deep Packet Inspection
Microsoft Lyncを機能別3つのフローに分類
チャット MS-Lync (Desktop Sharing, Chat)
動画、音声 MS-Lync Media (Audio and Video Flows)
ファイル転送 MS-Lync File Transfer
Microsoft Lync: Cisco AVCによる、トラフィックの最適化
MS-Lyncの各々の機能、 コンポーネントに対して 個別のポリシを適用
特定のアプリケーションだけではなく、用途別にトラフィックを制御可能です
Cisco Confidential 41 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
導入効果 AVC が無い場合
いろいろ調べたけど問題はない。それにしても、最近この手のクレームが多い。
みんながいろんなデバイス使ってるし、パフォーマンスの問題がでてきてるのかな? といっても、何を使ってるかわからないし。
一部のユーザが帯域を占有していて、無線パフォーマンスが低下しているケースがある。
無線デバイス数は増加し続けており、どのように利用されているかが把握できない
非WiFiの 問題?
WiFi干渉 の問題?
また遅くなった。うちの会社の無線はどうなってるんだ。いい加減どうにかし
てほしい。
社員 IT管理者
無線LAN利用ユーザ IT管理者
DHCP の問題? ローミング の問題?
課題
Cisco Confidential 42 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
導入効果 AVC を利用すると
また遅くなった。うちの会社の無線はどうなってるんだ。いい加減どうにかし
てほしい。
社員
無線LAN利用ユーザ IT管理者
SSID(WLAN)毎のアプリケーション統計を調査
このユーザが「XXXアプリ」を使いすぎている
Downstreamで「XXXアプリ」のトラフィックが異常に多い
業務に関係ない。 この「XXXアプリ」はブロックにしよう
Cisco Confidential 43 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
導入効果 AVC を利用すると
また遅くなった。うちの会社の無線はどうなってるんだ。いい加減どうにかし
てほしい。
社員
無線LAN利用ユーザ IT管理者
SSID(WLAN)毎のアプリケーション統計を調査
このユーザが「XXXアプリ」を使いすぎている
Downstreamで「XXXアプリ」のトラフィックが異常に多い
業務に関係ない。 この「XXXアプリ」はブロックにしよう
特定のアプリをブロックしているのでそもそも、
トラブルが発生しない!
Cisco Confidential 44 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
なんでsharepointが遅いんだ??
WLAN(SSID)毎の使用アプリケーション分析
クライアント毎のDSCPマーキング(パケット有線度指定)
クライアント毎の使用アプリケーション分析
ファイヤウォール適用
アプリケーション可視化
ポート番号ベースで Firewall を適用するのみ
他社
他社との比較 クライアント毎のアプリケーション制御はシスコだけ
Cisco Confidential 45 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
アクセスポイントが持ち込まれている!!!!
ーモバイルルータ、スマフォのテザリング
ー家庭用のアクセスポイントのネットワークへの設置
課題
Cisco Confidential 46 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential 47 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
今までの無線LANセキュリティ セキュリティの確保
セキュリティの状態 設定項目 効果
オフィスレベル0 無線LANのセキュリティをまったく施していない状態 なし なし
オフィスレベル1 市販されている無線LAN機器で実施可能なセキュリティ対策
暗号解読される可能性がある
WEP 通信内容暗号化
MACアドレスフィルタリング アクセスポイントに接続可能な端末を制限
SSID SSIDを隠ぺい
オフィスレベル2 オフィスで利用するにあたり高いセキュリティレベル
新しい製品のみで対応しているWPA、WPA2を使用
WPA-PSK/WPA2-PSK 強固な暗号方式を実現
MACアドレスフィルタリング アクセスポイントに接続可能な端末を制限
SSID SSIDを隠ぺい
オフィスレベル3 オフィスレベルにも耐えうるレベル
暗号鍵の動的配布、更新が可能
802.1X認証 ユーザの認証実施
WPA-AES/WPA2-AES 強固な暗号方式を実現
MACアドレスフィルタリング アクセスポイントに接続可能な端末を制限
SSID SSIDを隠ぺい 暗号化と認証
参照URL:『安心して無線LANを利用するために』 総務省 http://www.soumu.go.jp/joho_tsusin/071214_1.html
2007年 総務省『安心して無線LANを利用するために』 主に、暗号化と認証の2点が制定、推奨されていました
Cisco Confidential 48 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
これからの無線LANセキュリティの確保
認証、暗号化は必須項目です。
不正機器対策や侵入防御、通信の妨害への対応が推奨されています。
抜粋
セキュリティの確保
参照URL: 2013年1月 『企業が安心して無線LANを導入.運用するために』 総務省 http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000035.html
Cisco Confidential 49 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
手引書の記載内容 シスコでの対応
優先度 脅威への情報セキュリティ対策 可否
実現方法や対応技術
◎ WPA/WPA2(CCMP)の採用と適切な設定
〇 WPA/WPA2機能を実装済み
◎ アクセスポイントの管理者パスワードの適切な設定
〇 管理者アクセス時の認証や通信暗号化を実施
〇 電波の伝搬範囲の適切な設定 〇 自動調整機能やマニュアルでの設定機能有り
〇 ログの収集・保存・分析 〇 運用管理ツールで提供
△ 無線IDS/IPSの導入 〇 IDS機能はコントローラで提供 IPS機能は無線LAN専用のIPS製品を提供可能
△ 電波状況の監視 〇 運用管理ツールでの電波の可視化を実現
△ 管理フレームの暗号化・改ざん検知(IEEE802.11w)
〇 IEEE802.11w機能を実装済み
手引書に記載されている 「想定される脅威」
① 無線LAN区間における通信内容の窃取及び改ざん
② 内部ネットワークへの侵入
③ 利用者へのなりすまし
④ 不正なアクセスポイントによる通信内容の窃取
⑤ 通信の妨害
手引書で記載されている対策事項は、シスコ製品で全て対応可能です。
セキュリティの確保 想定脅威に対する対策のマッピング
Cisco Confidential 50 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
コントローラでできる不正アクセスポイントの対策
3つのポイント 1、不正なアクセスポイントによる通信内容の窃取対策 2、原因の発見による、電波干渉回避 3、家庭用アクセスポイントによる、不正DHCP対策
Cisco Confidential 51 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
トップ画面
Cisco Confidential 52 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
トップ画面 不正アクセスポイント(Rogue AP) 拡大
Cisco Confidential 53 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
不正アクセスポイント(Rogue AP) の一覧
Cisco Confidential 54 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
不正アクセスポイント(Rogue AP) の一覧
怪しいアクセスポイントをクリック!
Cisco Confidential 55 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
不正アクセスポイント(Rogue AP) の個別表示
Cisco Confidential 56 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
不正アクセスポイント(Rogue AP) の個別表示
不正をとらえた正規のアクセスポイントを表示!
Cisco Confidential 57 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
正規のアクセスポイント情報から、不正アクセスポイントの 位置を特定
Cisco Confidential 58 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential 59 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
シスコ無線LAN アーキテクチャ
Switch/Routed
Network
ネットワーク
コントロールシステム
(Prime Infrastructure)
• 無線LANコントローラがAP、端末、電波の監視制御を行う
• PIは主にGUI提供と、トラフィク、接続端末の統合管理を行う
• MSEは端末や干渉源の位置情報DBを提供する
モビリティサービスエンジン (Mobility Service Engine)
電波の見える化
アクセスポイント
端末、干渉源の位置特定
管理の自動化
規模と用途、導入スケジュールに応じて選択可能です
無線LANコントローラ
PI
MSE
Cisco Confidential 60 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
PIとMSEを追加することで、正確な位置を把握可能
Cisco Confidential 61 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
PIとMSEを追加することで、正確な位置を把握可能
Cisco Confidential 62 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
製品ラインナップ
Cisco Confidential 63 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
業界最高レベルの11n/11acシリーズ
小規模
700
エンタープライズクラス
1600
ミッションクリティカル
2700
最高レベル
3700
Enterprise Best In Class Value-Based Mission Critical
• 702w: 壁設置型AP
- ホテルや小部屋など
• 702i: コンパクトAP
• CleanAir Express*
• ClientLink 2.0
• VideoStream
• 802.11ac サポート
• High Density Experience
• CleanAir 80 MHz, ClientLink3.0,VideoStream
• 802.11ac サポート
• High Density Experience
• CleanAir 80 MHz, ClientLink 3.0, VideoStream
•拡張モジュールによる投資保護: セキュリティ, 3G スモールセル, Wave 2 802.11ac
NEW
NEW
802.11ac
Cisco Confidential 64 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Aironet series屋内Access Point 機能比較 効果 700 1600 2600 3700 備考
通信規格 11b/g/a/n 11b/g/a/n 11b/g/a/n/ac 11b/g/a/n/ac 11nは全製品対応
11ac対応 Wave1:1.3Gbps ー ー ー ◎ Wave2はモジュールで対応
最大データレート 理論上の最大通信速度 300Mbps 300Mbps 1.3Gbps 1.3Gbps
無線デザイン MIMO:ストリーム
数字の大きい方が通信が安定
2x2:2 3x3:2 3x4:3 4x4:3 アンテナ数を増やすことでより通信を安定させる
BandSelect 2.4Ghz帯に比べ障害の少ない5Ghz帯の優先利用
◎ ◎ ◎ ◎ 集中管理コントローラと併用で利用可能
CleanAir 専用の電波調査システムで障害を回避
ー △ ◎ ◎ 自動回避や位置の特定も可能
ClientLink 独自のビームフォーミングで、オフィスのレイアウトや
ー ◎ ◎ ◎ 端末の規格に依存せずに、効果を実現可能
密閉構造 一般的な製品よりも高い耐久性で構築可能
ー ◎ ◎ ◎ ほこり、ちりなどが機器内部に入り込まないため、故障率が低減
オプションモジュール 拡張機能を利用可能 ー ー ー ◎ 11acWave2またはwIPSを、追加で利用可能
最適提案環境
規模、環境、用途に応じて最適なソリューションが選択可能
小規模かつ電波障害が少ないエリア
小中規模
中大規模、または
障害の多い環境
最高品質 高密度 11ac
Cisco Confidential 65 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
業界で最も幅広いラインナップ MSO / Cable
1552C 1552CU
Industrial
1552H 1552S
Versatile
1552E 1552EU
Internal Antenna
1552I Ultra Low Profile
Flexible
1532I 1532E
•シームレスな接続性
• GPS
• CleanAir, ClientLink
•柔軟な設置と展開
• Fiber SPF /バッテリー
• PoE Out
• GPS
• CleanAir, ClientLink
•DOCSIS 3.0ケーブルモデムを内蔵
•ケーブルを通て給電
• GPS
• CleanAir, ClientLink
•防爆仕様 Class 1/Div 2/Zone 2
•ハネウェルセンサーゲートウェイ内蔵
• CleanAir, ClientLink
•超薄型デザイン
•内蔵/外付けアンテナ
• シングルまたはデュアルアンテナが選択可能
Enterprise and Carrier Class MSO Internet of Things Compact
NEW
Cisco Confidential 66 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
シリーズ
スケール(クライアント数と AP 数)
WLAN コントローラ ポートフォリオ
5500 500 の AP
7,000 のクライアント
WiSM2 1,000 の AP
15,000 のクライアント
8500 6,000 の AP
64,000 のクライアント
2500 75 の AP
1,000 のクライアント
ヴァーチャルコントローラ
200 の AP 3,000 のクライアント
Flex7500 6,000 の AP
64,000 のクライアント
3850 50 のAP
2,000 のクライアント
5760 1,000 の AP
12,000 のクライアント
クラウド 在宅勤務者、支店、分散化した
企業に最適
ユニファイドアクセス/11ac対応
FlexConnect
管理センターでの一元管理
FlexConnect
クラウドサービス型
Cisco Confidential 67 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
まとめ
–モバイル端末増加、トラフィック急増対応 11ac & HDX(Cisco High-Density Experience)
-ネットワーク全体の最適化 Cisco Unified Access
-無線LAN通信の最適化 AVC (Application Visibility & Control)
-無線LANセキュリティ
不正アクセスポイント検出
Thank you.