White Paper

WHITE PAPER Aerohive Networks, Inc. Control cooperativo de la arquitectura WLAN Versin 2.1

ndice
Introduccin El enfoque de Aerohive Arquitectura de Control Cooperativo....................................................................4 Conceptos claves de Aerohive y convenciones de nombres ...........................................................................5 CONTROL COOPERATIVO ..................................................................................................................................... 7 Auto-descubrimiento y auto-organizacin HiveAP...............................................................................................7 Problemas de roaming con APs autnomos ............................................................................................................8 Roaming rpido y seguro de capa 3 ...........................................................................................................................9 Balanceo de carga de tneles en entornos de roaming de capa 3 a gran escala.............................. 10 Control RF cooperativo .................................................................................................................................................. 10 Balanceo de carga de estacin................................................................................................................................... 11 APLICACIN DE POLTICA EN EL ACCESO .................................................................................................. 12 Perfles de usuario y poltica basada en identidad............................................................................................ 12 Aplicacin de poltica QoS en el acceso ................................................................................................................. 13 Aplicacin de poltica de seguridad en el acceso ............................................................................................... 16 Portal web cautivo integrado ...................................................................................................................................... 17 Tneles basados en identidad .................................................................................................................................... 17 Aplicacin de poltica en el acceso de invitados ................................................................................................ 18 EL REENVO POR LA MEJOR RUTA.................................................................................................................. 19 Red mallada inalmbrica............................................................................................................................................... 20 Enrutamiento escalable de capa 2 y seleccin de la ruta ms ptima ................................................... 20 Seguridad con el reenvo por la mejor ruta ......................................................................................................... 22 Escalabilidad con el reenvo por la mejor ruta ................................................................................................... 22 ALTA DISPONIBILIDAD ...................................................................................................................................... 22 Ningn punto nico de fallo......................................................................................................................................... 22 Auto-curable por el enrutamiento dinmico rodeando de fallos ................................................................ 23

Copyright 2007, Aerohive Networks, Inc.

Cooperative Control Wireless LAN Architecture

Failover dinmico en la red mallada convierte el acceso a la red mallada si occure un fallo de enlance .................................................................................................................................................................................. 24 HiveAPs con el servidor RADIUS integrado .......................................................................................................... 24 Cachs de credenciales AAA........................................................................................................................................ 25 GESTIN CENTRALIZADA .................................................................................................................................. 25 Gestin sencilla y escalable con el appliance HiveManager NMS .............................................................. 25 Componentes y comunicaciones HiveManager .................................................................................................. 26 Gestin de configuracin simplificada .................................................................................................................... 27 Cero configuracin para despliegues de puntos de acceso inalmbricos .............................................. 28 Monitorizacin, informes y resolucin de problemas simplificado ............................................................ 28 Deteccin de APs no autorizados .............................................................................................................................. 30 CONCLUSIN .......................................................................................................................................................... 30

Copyright 2007, Aerohive Networks, Inc.

Introduccin
La primera oleada de WLANs eran puntos de acceso autnomos (standalone) y era relativamente fcil desplegarlas pero carecan de las caractersticas de manejabilidad, movilidad y seguridad que las empresas requieren incluso para redes crticas. Despus, surgiran las actuales arquitecturas centrales basadas en controladores, que solucionaban estos problemas y que podan aadir, adems, gestin centralizada, permitir roaming entre dispositivos y proporcionar una gestin RF coordinada y una poltica de seguridad a estas redes. Pero desgraciadamente, este tipo de arquitectura tambin supuso nuevos problemas como redes superpuestas opacas, cuellos de botella de rendimiento, puntos nicos de fallo, latencia aumentada y costes considerablemente ms elevados para las redes empresariales. Segn las redes inalmbricas se aceptan mas como una parte crtica de la red empresarial y mientras las empresas piensan en desplegar VoWLAN y aumentar el rendimiento WLAN con 802.11n las consecuencias de estos problemas se aumentan, lo cual lleva a la industra a reexaminar la validez de la arquitectura WLAN centralizada de hoy. Aerohive Networks ha respondido creando una nueva arquitectura WLAN llamada la arquitectura WLAN de Control Cooperativo. Es una arquitectura WLAN sin controlador que elimina los inconvenientes de controladores al proporcionar la gestin, movilidad y seguridad que las empresas requieren de la infraestructura inalmbrica.

El enfoque de Aerohive Arquitectura de Control Cooperativo

Aerohive Networks ha introducido una nueva e innovadora clase de equipos inalmbricos llamado un Cooperative Control Access Point (CC-AP). Un CC-AP combina un punto de acceso de clase empresarial con un conjunto de protocolos y funciones cooperativas para proporcionar todos los beneficios de una solucin WLAN basada en controlador, pero sin requerir un controlador o una red superpuesta. La implementacin por Aerohive Networks de un CC-AP se llama un HiveAP. Esta funcionalidad de Control Cooperativo le permite organizar mltiples HiveAPs en grupos llamados Hives, los cuales comparten datos de control entre HiveAPs para habilitar funciones como roaming rpido y seguro de capa 2 y capa 3, gestin RF coordinada, seguridad, QoS y redes malladas. Esta capacidad permite una arquitectura WLAN de nueva generacin, llamada arquitectura WLAN de Control Cooperativo, que proporciona todos los beneficios de una arquitectura basada en controlador, pero es ms fcil de desplegar y extender, menor coste, ms fiable, ms escalable, ms facilidad de despliegue, mayor rendimiento y ms adecuada para Voz sobre WLAN que las actuales arquitecturas basadas en controlador. El diagrama ms abajo describe la arquitectura de Control Cooperativo. Se implementa con dos tipos de productos: Puntos de acceso de Control Cooperativo, llamados HiveAPs, que tienen radios dobles para permitir un uso simultneo de IEEE 802.11b/g y IEEE 802.11 para el acceso inalmbrico y/o la conectividad mallada inalmbrica e implementar la seguridad robusta con IEEE 802.1X, los ltimos estndares IEEE 802.1i, y la prevencin DoS (denial-of-service) de capa 2 a capa 4. Una plataforma de gestin centralizada, llamada el HiveManager, que proporciona la gestin de poltica de usuario centralizada, y la configuracin

Copyright 2007, Aerohive Networks, Inc.

Cooperative Control Wireless LAN Architecture HiveAP, las actualizaciones firmware, monitorizacin y troubleshooting simplificados. La arquitectura se admite por tres bases de tecnologa diferentes pero interrelacionadas. Control Cooperativo: un conjunto de protocolos que proporciona routing dinmico (basado en MAC) de capa 2, seleccin automtica de canales de radio y poder y un roaming rpido sin requerir controladores centralizados; Aplicacin de poltica en el acceso: la posibilidad para aplicar de forma granular polticas de seguridad, acceso y QoS basado en el usuario en el acceso de la red donde el usuario connecta por primera vez: El reenvo por la mejor ruta: la posibilidad para aplicar las polticas en el acceso, Control Cooperativo y protocolos de routing mallado escalables para permitir el reenvo seguro de trfico a travs de la ruta con mejor rendimiento y ms disponible de la red.

HiveAP 20

HiveManager appliance

Policy Best-Path Cooperative Enforcement Forwarding Control at the Edge

Diagram 1. Building Blocks of the Aerohive Networks Cooperative Control Architecture

Conceptos claves de Aerohive y convenciones de nombres

El diagrama ms abajo muestra que los HiveAPs tienen roles diferentes que se designan automticamente basado en cmo se conectan a la red. Lo siguiente es una lista de trminos claves usados para describir la arquitectura de Control Cooperativo de Aerohive Networks: HiveAPTM: La marca del producto para el CC-AP de Aerohive (Cooperative Control Access Point). Los HiveAPs se coordinan entre s con protocolos de Control Cooperativo para proporcionar funciones crticas incluyendo movilidad transparente, control RF automtico y el reenvo por la mejor ruta. HiveOSTM: El firmware desarrollado por Aerohive Networks que se ejecuta en los HiveAPs.

Copyright 2007, Aerohive Networks, Inc.

Appliance HiveManagerTM NMS: Un appliance de gestin de red que permite una sofisticada gestin basada en la poltica de identidad as como una sencilla configuracin de dispositivos, actualizaciones HiveOS y la monitorizacin de los HiveAPs dentro de una architectura WLAN de Control Cooperativo. Hive: Un Hive es un grupo de HiveAPs que comparten el mismo nombre y clave secreta que les permiten cooperar entre s usando los protocolos de Control Cooperativo. Dentro de un Hive, los clientes pueden hacer roaming transparente entre los HiveAPs a travs de los lmites de la capa 2 y de la capa 3. Enlance ascendente cableado: Las conexiones Ethernet de un HiveAP a la red cableada, la cual se denomina sistema de distribucin (DS) en estndares inalmbricos, usadas para enlazar trfico para y desde la LAN inalmbrica y la cableada. Enlance de la red mallada inalmbrica: Las conexiones inalmbricas entre HiveAPs usadas para crear una red mallada inalmbrica y proporcionar conexiones inalmbricas para transportar trfico de control y de datos. Enlance de acceso inalmbrico: La conexin inalmbrica entre un cliente inalmbrico y un HiveAP. Portal: Un HiveAP que tiene conexiones tanto a la LAN cableada como a la inalmbrica y proporciona las rutas por defecto a puntos mallados dentro del Hive. Se elige este rol de forma dinmica. Si el enlance cableado no est enchufado, el HiveAP puede ser un punto mallado de forma dinmica. Punto mallado: Un HiveAP que est conectado al Hive por enlaces ascendentes inalmbricos y que no usa un enlace ascendente cableado. Se elige este rol de forma dinmica. Si un enlance cableado est enchufado, el HiveAP puede ser un portal de forma dinmica siempre y cuando la configuracin lo permite. Sealizacin de Control Cooperativo: La comunicacin entre los HiveAPs usando protocolos cooperativos.

Diagram 2. Aerohive Networks Naming Conventions

Copyright 2007, Aerohive Networks, Inc.

Cooperative Control Wireless LAN Architecture

Control Cooperativo
Utilizando un Control Cooperativo, una tecnologa clave en la arquitectura de Control Cooperativo de Aerohive Networks, los HiveAPs en cooperacin con los HiveAPs contiguos son capaces de permitir funciones de control como la gestin RF dinmica, roaming de capa 2 y capa 3, balanceo de carga de cliente y redes malladas, eliminando as la necesidad de un controlador centralizado. El Control Cooperativo se hace posible con los siguientes protocolos de Control Cooperativo auto-organizadores: AMRP (Aerohive Mobility Routing Protocol) Proporciona los HiveAPs con la capacidad de efectuar un descubrimiento automtico de sus vecinos, la mejor ruta para el enrutamiento a nivel de MAC a travs de una red mallada inalmbrica con el reenvo local, enrutamiento dinmico y stateful del trfico en caso de un fallo e informacin predecible de identidad y distribucin de clave a los HiveAPs contiguos, proporcionando a los clientes unas capabilidades de roaming rpido y seguro entre HiveAPs mientras mantienen el estado de autenticacin, claves de encriptacin, sesiones de firewall y la aplicacin de la configuracin QoS. ACSP (Aerohive Channel Selection Protocol) Los HiveAPs lo usan para analizar las ondas y trabajar juntos para determinar la mejor configuracin de canales de radio y de energa para el acceso inalmbrico y la red mallada inalmbrica. ACSP evita la interferencia del mismo canal de radio o contiguos para proporcionar un rendimiento WLAN optimizado. DNXP (Dynamic Network Extension Protocol) Crea tuneles de forma dinmica segn necesidad entre los HiveAPs en subredes diferentes, permitiendo a los clientes hacer roaming transparente entre subredes mientras conservan su configuracin de la direccin IP, el estado de autenticacin, claves de encriptacin, sesiones de firewall y la aplicacin de la configuracin QoS.

Estos protocolos de Control Cooperativo permiten a los puntos de acceso de Control Cooperativo trabajar juntos como un sistema para proporcionar la movilidad, seguridad, control RF, escabilidad y capacidad de recuperacin que son esenciales para las redes inalmbricas.

Auto-descubrimiento y auto-organizacin HiveAP

El Control Cooperativo simplifica el despliegue de un conjunto de CC-APs permitiendo a los APs discubrir uno al otro de forma automtica y por sincronizacin proactiva del estado de la red. Los HiveAPs tienen la capacidad de descubrirse uno al otro tanto si estn conectados uno al otro mediante una red cableada o inalmbricamente. Cuando se encienden los HiveAPs, empiezan a buscar vecinos cableados e inalmbricos, y si se encuentran vecinos con el mismo nombre de Hive y clave compartida, pueden establecer conexiones seguras entre s por enlaces ascendentes cableados con encripcin AES, y enlaces ascendentes inalmbricos usando WPA con AES-CCMP. Una vez se han establecido las relaciones contiguas entre HiveAPs en un Hive, se ejecutarn los protocolos de Control Cooperativo a travs de enlances cableados e inalmbricos para proporcionar un roaming, control RF automtico y capacidad de recuperacin rpidos y seguros. Si los HiveAPs localizan a HiveAPs contiguos que

Copyright 2007, Aerohive Networks, Inc.

estn en una subred diferente, siempre que los HiveAPs estn configurados con el mismo nombre de Hive y configuracin secreta del Hive compartida, intercambiarn informacin IP entre s y establecern comunicaciones por la infraestructura de red enrutada para proporcionar funcionalidad de Control Cooperativo a travs de los lmites de la capa 3. Lo bueno de los protocolos de Control Cooperativo es que no hace falta configurarlos y por tanto se reduce mucho el coste operativo y el esfuerzo de desplegar una moderna solucin inalmbrica.

Problemas de roaming con APs autnomos

Normalmente se define un roaming rpido como uno que occure en solo unas decimas de milisegundo. Es muy importante cuando se ejecutan aplicaciones en tiempo real como voz donde una interrupcin en una conexin puede causar perdida de seal, riudos o incluso caida de llamadas. Con APs autnomos tradicionales que existen sin conocimiento uno del otro, el roaming rpido dentro de una WLAN segura usando IEEE 802.1X y EAP para una autenticacin segura no es posible. Esto es porque durante la autenticacin, el servidor RADIUS, el cliente inalmbrico y el AP intercambian informacin y derivan claves de encriptacin entre s. Si el cliente inalmbrico cambia a otro AP, no tendr ninguna de las claves que existen en el AP anterior y el cliente inalmbrico tendr que repetir todo el proceso de autenticacin y de derivacin de clave otra vez. Durante este proceso, se finalizarn las sesiones existentes que estn sujetas al tiempo, como transferencias de voz o de archivos. Aerohive Networks ha solucionado el problema existente con soluciones de AP autnomo usando AMRP. Ya sea conectado a la LAN cableada o a la LAN mallada inalmbrica, los HiveAPs cooperan entre s usando el AMRP para intercambiar el estado de autenticacin, la identidad e la informacin de clave de encriptacin de forma predecible a los HiveAPs contiguos, permitiendo a los clientes hacer roaming rpido y seguro. El siguiente diagrama enumera los pasos tomados por los HiveAPs para el roaming rpido y seguro. Paso 1 Despus de que un cliente inalmbrico se autentique correctamente con un servidor RADIUS usando autenticacin 802.1X EAP, se usa la informacin intercambiada entre el servidor RADIUS y el cliente para derivar una clave llamada PMK (Pairwise Master Key). Esta PMK es la misma en el cliente inalmbrico y en el servidor RADIUS.

Diagram 3. Autonomous APs No Seamless Roaming in Secure Wireless LANs with 802.1X

Diagram 4. HiveAPs - Authentication, Key Derivation, and Key Distribution

Copyright 2007, Aerohive Networks, Inc.

Cooperative Control Wireless LAN Architecture

Paso 2 El servidor RADIUS envia la PMK al HiveAP para que el cliente y el HiveAP puedan establecer una conexin segura y encriptada entre ellos. Paso 3 El HiveAP distribuye las claves e informacin de identidad a todos los HiveAPs contiguos para asegurar que si el cliente hace roaming a un HiveAP contiguo, no se necesite repetir la autenticacin ni el intercambio de clave, permitiendo que el tiempo de roaming sea extremadamente rpido. Nota: Por razones de seguridad, la clave e informacin de identidad enviadas entre los HiveAPs estn encriptadas con AES y se guarda en una memora en el HiveAP. De esta forma, se eliminan las claves del sistema junto con toda la identidad de usuario cuando se apaga un HiveAP. Adems, los administradores no tienen acceso a ver las claves. Estas medidas de seguridad impiden que se obtengan las claves si se conecta a la red cableada o si alguna vez se compromete un HiveAP. Junto con la informacin de clave que se distribuye entre los HiveAPs contiguos, AMRP tambin distribuye informacin de identidad del usuario para que los HiveAPs pueden forzar la polticas de acceso firewall basadas en la identidad y la configuracin QoS mientres el usuario hace roaming entre los HiveAPs.

Roaming rpido y seguro de capa 3

La movilidad en redes IP tpicas es dficil porque mientras un usuario mueve de subred a subred, su configuracin IP cambia, lo cual normalmente hace que las sesiones y aplicaciones basadas en IP fallan. Para permitir a los usuarios mantener su configuracin IP y conexiones de red al hacer roaming mediante subredes por una WLAN, Aerohive Networks ha desarrollado el protocolo extendido de red dinmica (DNXP). Cuando un usuario hace roaming a un AP que se encuentra en una subred diferente, DNXP se usa para establecer un tnel de forma dinmica desde ese AP hasta un AP en la subred de dnde el usuario empez hacer roaming. El trfico del usuario se tunela hasta su subred de origen, lo cual permite a los clientes conservar su configuracin de direccin IP, estado de autenticacin, claves de encriptacin, sesiones de firewall y la aplicacin de la configuracin QoS mientras hacen roaming a travs HiveAPs en subredes diferentes. Esto es especialmente importante para clientes que usan aplicaciones de VoWLAN (Voz sobre WLAN). Cuando se activa el roaming de capa 3, los HiveAPs pueden informarse sobre los vecinos de capa 3 usando el appliance HiveManager de gestin o pueden discubrir de forma automtica vecinos de capa 3 investigando canales de radio. Si se encuentran HiveAPs con el mismo nombre de Hive y clave compartida, se construirn relaciones contiguas entre s. Cuando se descubren vecinos de capa 3, los HiveAPs en subredes diferentes intercambiarn listas de portales HiveAPs disponibles y una lista de clientes y cachs de roaming, lo cuales estn en HiveAPs contiguos. De esta forma, si el cliente hace roaming a una nueva subred, el HiveAP en la nueva subred es consciente del cliente y puede construir un tnel de forma dinmica al HiveAP en la anterior subred permitiendo un roaming rpido y seguro de la capa 3.

Copyright 2007, Aerohive Networks, Inc.

El siguiente diagrama muestra los pasos bsicos ejecutados por los HiveAPs mientras los clientes hacen roaming dentro de su subred y a travs de los lmites de la subred. Paso 1 El cliente ejecuta un roaming de capa 2 transparente dentro de la subred A. Paso 2 Despus de que el cliente hace correctamente roaming al HiveAP 2, el HiveAP 2 enviar un paquete de control encriptado sobre Ethernet al HiveAp en la subred vecina. El paquete de control contiene la informacin de cache de roaming del cliente as como su subred original. Paso 3 Cuando el cliente hace roaming a HiveAP 3, la informacin de identidad y de clave ya est. Con ello, unido al conocimiento que el cliente tiene de la subred A, se tunela el trfico del cliente en GRE por la LAN a un HiveAP en la subred A. De forma predecible, HiveAP 3 reenva la informacin del cliente inalmbrico a HiveAP 4 anticipndose a ms roaming.

Diagram 5. The Process for Fast and Secure Layer 3 Roaming

Solo se quedan los tneles abiertos segn necesidad y se cierren si estn en uso por cualquier cliente. Destaca que mltiples clientes pueden compartir los mismos tneles. En resumen, con los HiveAPs y el Control Cooperativo, los clientes inalmbricos pueden hacer roaming transparente de forma segura entre HiveAPs dentro de la misma o diferentes subredes sin impactar a los datos del cliente o a conexiones de voz.

Balanceo de carga de tneles en entornos de roaming de capa 3 a gran escala

La caracterstica de roaming de capa 3 de Aerohive proporciona una escabilidad sin precedentes usando el balanceo de carga de tneles para distribuir tneles a travs de todos los HiveAPs portales dentro de una subred. Esto aprovecha el procesamiento de potencia distribuido de la red inalmbrica para escalar y soportar miles de tneles de roamining de capa 3 y mltiples gigabits de caudal atraves de subredes. Cuando un HiveAP en una subred remota intenta establecer un tnel a un HiveAP en la subred original, si el HiveAP en la subred origen tiene una alta carga de tnel, puede informar el HiveAP en la subred remota que tunele a otro HiveAP portal. Esto impide que un nico HiveAP se utilice demasiado.

Control RF cooperativo
Para eliminar interferencias del mismo o contiguos canales de radio y para poder reaccionar a cambios en el entorno RF, los HiveAPs usan Aerohive Channel Selection Protocol (ACSP) para cooperar entre s para seleccionar automticamente los

10

Copyright 2007, Aerohive Networks, Inc.

Cooperative Control Wireless LAN Architecture mejores canales de radio en las cuales operar las radios. Asegura el uso ms efectivo de los canales de radio para un rendimiento ptimo de la red inalmbrica. Los HiveAPs usan ACSP para escanear canales de radio y construir tablas de dispositivos inalmbricos descubiertos. Se usan estas tablas para identificar y clasificar interferencias. Los HiveAPs comunican la informacin de estado ACSP entre s y usan esta informacin para seleccionar los canales adecuados y niveles de energa dependiendo de la topologa y configuracin de la red inalmbrica. Si se utilizan ambos canales de radio para acceso inalmbrico, el ACSP seleccionar canales para cada HiveAP que minimiza la interferencia con sus vecinos. Se realiza asegurando que usan canales diferentes de sus vecinos inmediatos y que se ajusta su energa para minimizar la interferencia co-canal con otros HiveAPs ms lejanos. Si los HiveAPs usan enlaces ascendentes inalmbricos para conectividad inalmbrica mallada, ACSP asegura que usan el mismo canal entre los HiveAPs para estos enlaces, mientras siguen minimizando la interferencia de los enlaces de acceso. Para mantener un rendimiento optimo de WLAN, ACSP se puede programar para recalibrar los canales de radio de forma diaria a una hora configurable y cuando no hay clientes conectados. Esto ayuda a asegurar que los canales de radio no se cambian mientras la WLAN se utiliza, lo cual impide la interrupcin de servicio para los clientes inalmbricos.

Balanceo de carga de estacin

Muchas veces en una red inalmbrica, los usuarios estarn, sin saberlo, conectados al mismo AP mientras los otros APs a su alredador se usan poco. Esto puede tener un impacto significativo en el rendimiento del cliente y puede causar que los usuarios tengan una experiencia no satisfactoria. Es lgico, entonces, que se anime a los clientes a cambiar de los APs ms usados a otros con menos trfico. Para ayudar en la distribucin de clientes entre HiveAPs en una infraestructura de Control Cooperativo, Aerohive ha implementado un balanceo de carga de estacin. En caso que se use mucho un HiveAP, basado en la carga total del sistema, la carga de trfico de voz de estaciones asociadas, el nmero total de estaciones asociadas y la calidad de la seal de estaciones asociadas, un HiveAP puede tomar decisiones para descargar estaciones desde un HiveAP que se pueden gestionar mejor por otro y hacer funciones de control de admisin a estaciones para impedir sobreutilizacin. Esto asegura que hay suficiente espacio para estaciones que hacen roaming al HiveAP, y evita la sobrecarga de un nico HiveAP especialmente cuando otros HiveAPs cercanos pueden gestionar mejor la carga. Es especialmente til con VoWLAN porque ayuda a asegurar que un HiveAP tiene disponibilidad para admitir estaciones de voz nuevas o que hacen roaming, y que hay suficiente tiempo de transmisin para asegurar una calidad de voz excelente. Para ayudar en la distribucin de carga de estacin y procesamiento entre HiveAPs en una infraestructura de Control Cooperativo, Aerohive ha implementado un balanceo de carga de estacin. En caso que se usa mucho un HiveAP, basado en la carga total del sistema, la carga de trfico de voz de estaciones adjuntadas, el nmero total de estaciones adjuntadas y la calidad de la seal de estaciones adjuntadas, un HiveAP puede tomar decisiones para descargar estaciones de un HiveAP que otro puede ser el mas indicado y hacer funciones de control de admisin a estaciones para impedir sobreutilizacin. This ensures there is enough headroom for stations that roam to the

Copyright 2007, Aerohive Networks, Inc.

11

HiveAP, and it prevents overloading a single HiveAP especially when their other HiveAPs nearby that can better handle the load. Es especialmente til con VoWLAN porque ayuda asegurar que un HiveAP tiene disponibilidad para apoyar estaciones de voz nuevas o que hacen roaming y que hay suficiente energa de procesamiento para asegurar una calidad de voz excelente.

Aplicacin de poltica en el acceso

Usando la aplicacin de poltica en el acceso, una tecnologa clave en la arquitectura de Control Cooperativo de Aerohive Networks, los HiveAPs pueden forzar una seguridad basada en identidad potente y flexible, control de acceso y polticas QoS en el acceso a la red. La aplicacin de estas polticas al trfico en el HiveAP local permite la denegacin de servicio y motores firewall para validar trfico en el punto de entrada antes de que se transmita a travs del HiveAP. Asimismo, permite a los motores de QoS en el HiveAP responder instneamente a las variaciones en tiempo real de la transferencia inalmbrica inherente a un entorno RF dinmico. La aplicacin de poltica en el acceso proporciona un control considerablemente mejor que soluciones que aplican una poltica a mltiples saltos en un controlador centralizado.

Perfles de usuario y poltica basada en identidad

La solucin WLAN de Aerohive define diferentes conjuntos de polticas de acceso para diferentes clases de usuarios a travs de la creacin de perfiles de usuarios. Cada perfl de usuario define un VLAN, poltica QoS, poltica firewall de MAC, poltica firewall de IP y poltica de roaming de capa 3 que se asigna a usuarios cuando conectan al WLAN. En un HiveAP, uno o ms atributos del perfl de usuario se asignan a un nico perfl de usuario. Si un usuario se autentica con el HiveAP usando 802.1X y autenticacin EAP, el servidor RADIUS puede devolver un atributo del perfl de usuario al HiveAP, lo cual asocia al usuairo con su perfl de usuario. El atributo del perfl de usuario devuelto por RADIUS puede definirse basado en la configuracin del grupo del usuario en Directorio Activo, LDAP o un realm RAIUS. Si el usuario no utiliza autenticacin 802.1X, el perfl de usuario puede asignarse al usuario basado en la configuracin de atributos del perfl de usuario del SSID por defecto. El atributo del perfl del usuario asignado a un usuario va con l cuando hace roaming a travs de la WLAN. Los administradores pueden configurar a los HiveAPs para que utilicen el mismo conjunto de polticas para perfles de usuario por toda la WLAN o pueden hacer cambios basados en una ubicacin. Por ejemplo, los HiveAPs en una ubicacin pueden especificar que el perfil de usuario que tiene una politica de QoS para proporcionarle un ancho de banda sin restricciones. Sin embargo, en otra ubicacin, un HiveAP puede especificar que el mismo perfl de usuario defina polticas para limitar el ancho de banda de todo el trfico. Al hacer roaming entre las dos ubicaciones, el atributo del perfl de usuario permanece igual, pero su poltica cambia de forma dinmica basada en la configuracin del perfl de usuario dentro de los HiveAPs en cada ubicacin. Se muestra un ejemplo de como los perfles de usuario se usan en el diagrama siguiente.

12

Copyright 2007, Aerohive Networks, Inc.

Cooperative Control Wireless LAN Architecture

Diagram 6. Identity and Location-Based Policy En este ejemplo, cuando un usuario autentica con SSID Corp_WiFi, el servidor RADIUS devuelve el nmero de atributo del perfl de usuario para ese usuario especfico y el HiveAP usa este valor para asociar el usuario a un perfil de usuario, asegurando que se aplican las polticas adecuadas para este usuario. Esta asociacin de nmeros de atributo del perfl de usuario en perfles de usuario especficos puede ser diferente en partes diferentes de la red, permitiendo o la aplicacin global de la poltica de usuario o la aplicacin de la poltica de usuario especfica a la ubicacin. En este caso, en algunas ubicaciones al usuario se asignan polticas de VLAN y QoS diferentes, pero la misma poltica firewall y polticas de roaming de capa 3. Asimismo, otros usuarios asignados a atributos del perfl de usuario diferentes pueden seguir la misma ruta pero estar asignados a VLANs y polticas diferentes. Esto permite a los administradores crear polticas de acceso basadas en identidad y ubicacin.

Aplicacin de poltica QoS en el acceso

Siempre que se transmite datos desde una red de alta velocidad, como una red Ethernet, a una red de baja velocidad, como una WLAN, hay un alto potencial de la perdida de paquetes y la degradacin de rendimiento. Piense en el trfico de una carretera con cinco carriles que se reduce a una calle con dos carriles, e imagine como un vehculo de urgencias como una ambulancia puede pasar por el trfico en la hora punta.

Copyright 2007, Aerohive Networks, Inc.

13

Cuando se envia trfico de la red cableada a la WLAN, para asegurar un rendimiento ptimo para aplicaciones de prioridad alta como voz o video, sin afectar de forma adversa el rendimiento de trfico de prioridad baja como aplicaciones basada en web y correo electrnico, se requieren tcnicas avanzadas de QoS (Calidad de servicio). Aerohive ha desarrollado motores QoS avanzados dentro de cada HiveAP para asegurar un rendimiento ptimo para tipos de trfico de prioridad alta y baja. Adems, el procesamiento requirido para manegar QoS adecuadamente ocurre dentro de cada HiveAP, lo cual permite un procesamiento de trfico distribuido por toda la WLAN, en lugar de occurir todo el procesamiento en un dispositivo del controlador centralizado. Esto proporciona una escabilidad linear mientras se aaden ms HiveAPs sin cuellos de botella. Uno de los elementos de una QoS WLAN encontrada en los APs de clase empresarial modernos hoy en da es IEEE 802.11e/WMM (Wireless Multi-Media). Con WMM, se puede priorizar el trfico de un AP inalmbrico para la transmisin a la red inalmbrica. Esto permite clasificar trfico en cuatro categoras de acceso, los cuales se encolan y se priorizan segn la sensibilidad al tiempo de los datos. Categoras de acceso de mayor prioridad pueden utilizar un menor espacio entre tramas y una ventana de retraso aleatoria para que la transmisin al medio inalmbrico sea ms rpida. Aunque WMM hace un gran trabajo asegurando que el trfico de prioridad alta se transmita al medio inalmbrico porque WMM utiliza una estricta prioridad de encolamiento, si el trfico de voz y video se utiliza en la WLAN, es probable que habr periodos momentaneos de congestin para colas de prioridad baja. Cuando las colas estn llenas, aunque solo sea momentneamente, los paquetes se pierdan. A lo mejor no parece mucho, porque si se pierden paquetes, especialmente si utilizen TCP, se transmitarn otra vez. Sin embargo, porque TCP utiliza un algoritmo integrado para evitar congestin que corta el tamao de la ventana de contencin TCP a la mitad cuando un paquete se pierda, el rendimiento TCP se puede ver afectado gravemente. Aunque no se afecta a las aplicaciones clasificadas en las colas de prioridad alta, las aplicaciones de prioridad baja como aplicaciones basadas en web y correo electrnico se ven afectadas por las consecuencias. Usando tcnicas QoS ms avanzadas para aumentar WMM, es posible mitigar la perdida de paquetes y asegurar un rendimiento ms alto para aplicaciones de prioridad baja tambin. Para proporcionar una transmissin de voz y video muy eficaz, pero tambin aliviar los problemas que occuren cuando se pierden los paquetes por la congestin momentnea de colas WMM, Aerohive ha aumentado WMM implementando una clasificacin avanzada, gestin (lmite de tasa), colas y mecansmos de programacin de paquetes dentro de cada HiveAP. El siguiente diagrama demuestra un ejemplo sencillo del flujo de datos de los motores QoS dentro de un HiveAP.

14

Copyright 2007, Aerohive Networks, Inc.

Cooperative Control Wireless LAN Architecture

Diagram 7. QoS Policy Enforcement at the Edge Mirando el diagrama ms arriba, puede ver como el trfico que llega desde una red es procesado por el HiveAP para asegurar una calidad del servicio altamente efectiva. Paso 1 - El trfico se envia desde la red cableada al HiveAP Paso 2 - Segn llegan los paquetes de un enlace ascendente Ethernet, un enlace ascendente inalmbrico o una conexin de acceso, se asigna el trfico a su perfil de usuario adecuado, lo cual define la poltica QoS. Paso 3 El clasificador de paquetes QoS categoriza el trfico dentro de ocho colas por usuario basado en las polticas de clasificacin de QoS. Estas polticas se pueden configurar para asignar el trfico a colas basacas en MAC OUI (Identificador Unico de Organizacin), servicio de red, SSID e inferfaz, o marcando prioridades en los paquetes entrantes utilizando IEEE 802.1p o DiffSserv. Paso 4 - El gestor de polticas de trfico QoS puede forzar la poltica QoS limitando la tasa y marcndola. Se puede limitar la tasa del trfico por perfil de usuario, por usuario o por cola. Se puede marcar el trfico con IEEE 802.1p o DiffServ para poder priorizarlo a travs de la WLAN. El trfico que sale hacia un interfaz Ethernet se puede marcar con IEEE 802.1p o DiffServ. Paso 5 El motor de programacin de paquetes QoS utiliza tecnicas de estricta prioridad y Round-Robin con prioridades para programar el trfico de forma granular desde cada una de las ocho colas hacia las colas hardware WMM. El programador tiene en cuenta el peso del perfil de usuario que es asignado al usuario, y el peso de

Copyright 2007, Aerohive Networks, Inc.

15

cada una de las ocho colas de usuario. Porque el motor de programacin de paquetes QoS est en los HiveAPs, tiene la capacidad de monitorizar atentamente la disponibilidad de las colas WMM y reaccionar instantneamente a condiciones cambiantes de la red. El motor de programacin de paquetes QoS solo transmite a las colas WMM cuando estn disponibles, encolando los paquetes en las ocho colas por usuario mientras tanto. Esto evita que se pierdan paquetes y jitter, que afecta de forma adversa a las aplicaciones sensibles al tiempor como la voz, y previene la degradacin del rendimiento de trfico TCP causado por los algoritmos de ventana de retraso de contecin, cuando se pierden paquetes TCP. Paso 6 Finalmente, WMM transmite los paquetes desde las cuatro categoras de acceso basadas en la disponibilidad del medio inalmbrico. Se transmiten los paquetes de categoras de acceso de mayor prioridad con un menor espacio entre tramas y una ventana de retraso aleatoria para que la transmisin al medio inalmbrico sea ms rpida. En resumen, el motor QoS de Aerohive dentro de los HiveAPs proporciona una priorizacin muy granular y una trasmisin de los paquetes ms efectiva dentro de las colas WMM. Adems, el programador de paquetes monitoriza constantemente la disponibilidad de las colas WMM, y solo permite la transmisin desde las colas de usuario cuando estn disponibles. Esto evita que los paquetes se pierdan innecesariamente cuando la colas WMM estn llenas, y tambin permite una calidad de voz y video excepcional, mientras conserva el rendimiento para trfico de menor prioridad como aplicaciones basadas en web. Una vez los paquetes llegan a las colas WMM, los paquetes son transmitidos al medio inalmbrico basado en la prioridad de su categora de acceso y el estndar WMM. Las mejoras en QoS son posibles porque son implementadas en el acceso en cada HiveAP, donde pueden inmediatamente reaccionar a condiciones de red cambiantes de forma dinmica y proporcionar una calidad de servicio excepcioanl.

Aplicacin de poltica de seguridad en el acceso

Con la arquitectura de LAN inalmbrica de Control Cooperativo, la poltica de seguridad es gestionada de forma centralizada utilizando el HiveManager, pero esta es aplicada en el acceso inalmbrico en cada HiveAP. Esto es posible porque cada HiveAP es responsable de encriptar y desencriptar tramas inalmbricas, y tambin tiene la posibilidad de ver los paquetes internos, realizar chequeos de seguridad, y encriptar de nuevo si es necesario antes de enviar el trfico fuera. Esto permite a los HiveAPs aplicar polticas avanzadas de seguridad localmente en el punto de entrada, antes que el trfico es enviado a la red cableada, de forma inalmbrica a travs de una malla, o a otro cliente inalmbrico. Los HiveAPs aplican las polticas de seguridad al trfico basado en la identidad de un usuario o por SSID. Las polticas de seguridad tienen la abilidad de aplicar filtros de direcciones MAC, polticas firewall (de capa 2) de MAC, polticas firewall (de capa 3/capa 4) e impedir un nmero de ataques de tramas inalmbricas y DoS (denagacin de servicio) basado en IP. Ademas, debido a que cada HiveAP is responsable de procesar las polticas de seguridad de su propio trfico, tienes la ventaja de utilizar la potencia del procesamiento distribuido de todos los HiveAPs en una WLAN, en lugar de realizar todo el procesamiento de la segmentos completos de WLAN en un dispositivo centralizado.

16

Copyright 2007, Aerohive Networks, Inc.

Cooperative Control Wireless LAN Architecture Adems, como los HiveAPs desencriptan los paquetes inalmbricos en el acceso antes que sean transmitidos a la red cableada, tienes la posibilidad de utilizar los sistemas de seguridad actuales puestos en la red cableada para aplicar polticas de seguridad en el trfico inalmbrico tambin. De esta forma, tanto el trfico inalmbrico y como el cableado deber pasar por los sistemas de seguridad corporativos, incluyendo firewalls, gateways de antivirus, IDPS, y dispositivos de control de acceso a la red (NAC).

Portal web cautivo integrado

Otra forma de proporcionar la aplicacin de polticas en el acceso es con la utilizacin de un portal web cautivo integrado en cada HiveAP, parecido a lo que puede ver al acceder a la red de un hotel o un aeropuerto. Cuando un usuario se asocia con un SSID con el portal web cautivo activado, y abren su navegador, son redirigidos a una pgina web de registro. La pgina web muestra las opciones para autenticar usuarios con un servidor RADIUS, o proporcionar un acceso libre despues que el usuario acepta una poltica de aceptacin de uso, y rellena un formulario. Los administradores pueden personalizar el portal web cautivo diseando su propia pgina web, y pueden especificar el mtodo de registro requerido para que los usuarios accedan a la red, o con autenticacin de usuario o con un formulario de registro abierto. Despus de pasar el proceso de registro de usuario, su trfico es oblicado por el HiveAP basado en el perfil de usuario asignado por el SSID.

Tneles basados en identidad

Diagram 8. HiveAP Captive Web Portal

Se puede usar la misma tecnologa que da a los HiveAPs la capacidad de ejecutar roaming de capa 3 para tunelar los clientes inalmbricos a un HiveAP en una red diferente basada en su identidad. Esta se puede usar en entornos donde los invitados se tunelean al DMZ o donde el switch de acceso no admite VLANs. Los tneles basados en identidad se definen en polticas de movilidad que estn asignados a perfles de usuario. Cuando un usuario se asocia con un HiveAP, se autentica y se asigna a un perfl de usuario, las polticas QoS y firewall para el usuario se aplican en el HiveAP local y entonces el trfico del usuario se conecta a un tnel GRE a travs de la red a un HiveAP en una red remota.

Copyright 2007, Aerohive Networks, Inc.

17

De este modo, despus que un usuario se autentica, el usuario recibe la configuracin IP de un servidor DHCP en las redes remotas como si estuviera fisicamente all. El usuario es bsicamente un miembro extendido de la red remota. Por ejemplo, un equipo de consultores, colaboradores y auditores podran tener un centro de mando u oficina temporal dentro de una empresa. Con tneles basados en identidad, estos clientes temporales pueden estar vinculados con cualquier HiveAP dentro de una red y su trfico se tunela directamente a un HiveAP dentro de su centro de mando como si estuvieran localmente. Se muestra un ejemplo de como los tneles basados en identidad se usan en el diagrama siguiente. Un SSID de invitado se monta en los HiveAPs dentro de la red interna. Cuando un invitado se asocia con el SSID de invitado, se usa un portal web cautivo para autenticar los usuarios definidos en un servidor RADIUS. Despus de una autenticacin correcta, se aplican las polticas QoS y de seguridad, y se tunela el trfico del invitado permitido directamenta al HiveAP en el DMZ donde puede acceder al Internet. En ningn momento el usuario invitado puede acceder a la red interna securizada. Alternativamente, o adicionalmente, se puede asociar el trfico del invitado en una VLAN de invitado para una red de retorno aislada a la DMZ o al gateway de Internet. Diagram 9. A Common Use for Identity-Based Tunnels Placing Guests in a Firewall DMZ

Aplicacin de poltica en el acceso de invitados

Junto con las capabilidades del portal web cautivo que estn disponibles en HiveAPs, hay un nmero de caractersticas complementarias en los HiveAPs que se pueden usar para proporcionar una solucin robusta del acceso de invitado. Las caractersticas incluyen: 1. La segmentacin / aisladamiento del invitado despus de que un invitado se ha autenticado o registrado con un HiveAP, se puede poner en su propia VLAN para impedir que accedan a recursos corporativos pero le permite acceder al Internet. Si la segmentacin de VLAN no es posible debido a la arquitectura de red a nivel de acceso, los invitados se pueden tunelear, usando la funcionalidad del tnel

18

Copyright 2007, Aerohive Networks, Inc.

Cooperative Control Wireless LAN Architecture basado en identidad, directamente a uno o ms HiveAPs dentro de una zona DMZ detrs de un firewall como un lobby. 2. Segn la configuracin del servidor RADIUS por SSID permite al SSID invitado usar un servidor RADIUS separado para autenticar usuarios invitados. Esto es importante porque la mayora de soluciones del aceso de invitado de terceros utilizan sus proprios servidores RADIUS. Estos servidores RADIUS se equipan con un interfaz grafco para permitir a los administradores del lobby crear cuentas de usuarios invitados temporales, como cuando los invitados se registran en la recepcin. Con una configuracin del servidor RADIUS por SSID, sus usuarios corporativos se autentican con servidores RADIUS corporativos mientras los usuarios invitados se autentican con servidores RADIUS ligados a soluciones del acceso de invitados. 3. Poltica firewall basada en el perfl de usuario permite la aplicacin de un conjunto diferente de polticas firewall de MAC y de polticas firewall IP a usuarios invitados para limitar su acceso a recursos especficos. 4. Configuracin DoS por SSID permite la aplicacin estricta de una configuracin DoS y ajustes de prevencin de desbordamiento de airtime a los invitados. La solucin del acceso de invitados de Aerohive proporciona la flexibilidad de la utilizacin de caractersticas integradas en cada HiveAP mientras permite una interoperabilidad transparente con soluciones del acceso de invitados a terceros.

El reenvo por la mejor ruta

Una de las mayores preocupaciones en WLANs es donde se aplica la seguridad y el QoS, en muchos casos los administradores piensan en controladores, no porque les gusta la arquitectura pero ms porque esperan que el controlador aplique la poltica. Si toda la poltica se aplica dentro del AP como con el HiveAP de Aerohive Networks, se crean muchas ms opciones del reenvo flexible incluiendo lo que se llama la Mejor Ruta. La mejor ruta es la ruta ms corta y la latencia ms baja a un recurso de red. Con el reenvo de la mejor ruta de Aerohive, cada HiveAP coopera con los HiveAPs contiguos para encontrar rutas ptimas entre ellos, clientes y la red cableada. Porque cada HiveAP hace decisiones de reenvo basadas en informacin aprendida de sus vecinos y tiene la funcionalidad para reenviar trfico inalmbrico del cliente localmente a una red inalmbrica o cableada. A diferencia de algunas soluciones, las cuales permiten el procesamiento de trfico de forma local en un AP o por un dispositivo central, no hace falta sacrificar nada por la seguridad, monitorizacin o rendimiento. Aerohive no tiene que comprometer la funcionalidad porque el trfico siempre se reenvia localmente y se procesa completamente en el HiveAP, a pesar que tenga los HiveAPs en una sede corporativa o en un sucursal.

Copyright 2007, Aerohive Networks, Inc.

19

Red mallada inalmbrica

Al usar protocolos de Control Cooperativo que funcionan por el aire igual que por la LAN cableada, los HiveAPs pueden establecer conexiones de red mallada inalmbrica con HiveAPs contiguos que comparten el mismo nombre y configuracin secreta compartida del Hive. Porque los HiveAPs tienen dos radios, una que utiliza IEEE 802.11b/g y la otra IEEE 802.11a, tiene la opcin para especificar el uso de una radio para el acceso inalmbrico y la otra para la mallada inalmbrica. Se puede usar la red mallada inalmbrica donde la conectividad cableada no es factible o es difcil de desplegar. Por ejemplo, la red mallada inalmbrica se puede usar donde una red necesita desplegarse rpidamente, como para una conferencia o para una situacin de recuperacin de desastre. La red mallada inalmbrica tambin se puede usar aumentar la conectividad cableada usando la inalmbrica. Esto proporciona a los HiveAPs capabilidades de recuperacin extras siendo capaces de rodear un fallo como un enlace Ethernet desconectado accidentalmente, o un switch de acceso que ha fallado, o se ha apagado. Todo lo que necesita el HiveAP es alimentacin y los protocolos hacen lo dems. Los HiveAPs automticamente hacen conexiones malladas inalmbricas entre ellos para proporcionar una coberatura inalmbrica que no se limita a los 100 metros de longitud maxima del par trenzado. Por toda la red mallada inalmbrica, se usan los protocolos de Control Cooperativo de Aerohive para proporcionar el reenvo por la mejor ruta, roaming rpido y seguro, seleccin ptima de canales de radio y alimentacin de energa para conexiones inalmbricas y alta disponibilidad con enrutamiento dinmico y reenrutamiento stateful del trfico en caso de fallo eventual.

Los protocolos de Control Cooperativo han sido diseados para escalar para soportar redes malladas inalmbricas muy grandes, previenen el desbordamiento limitando el alcance del broadcast, la distribucin de rutas y la distribucin de informacin de cach de roaming. Esto, en combinacin con QoS, prevencin DoS y aplicacin de la poltica firewall en el HiveAP, mantiene el trfico innecesario fuera de la red mallada, asegurando un rendimiento WLAN optimo.

Enrutamiento escalable de capa 2 y seleccin de la ruta ms ptima

Para capacidades de routing por la mejor ruta, los HiveAPs utilizan el Aerohive Mobility Routing Protocol (AMRP). Con AMRP, los HiveAPs cooperan entre s para

20

Copyright 2007, Aerohive Networks, Inc.

Cooperative Control Wireless LAN Architecture determinar la mejor ruta por una red inalmbrica y tienen la capacidad de reenviar trfico localmente usando la mejor ruta. Es una mejora significativa en soluciones de WLAN centralizada basadas en controladores, que realizan funciones de control y reenvan datos desde un dispositivo centralizado. Para determinar las mejores rutas por una red, los HiveAPs utilizan AMRP tanto por conexiones cableadas como las malladas inalmbricas. Esto permite a los algoritmos de enrutamiento determinar la mejor ruta basado en un nmero de metrcas incluyendo costes, tasas de ancho de banda, saltos e interferencia. Si falla un enlance ascendente cableado o inalmbrico, o si las interferencias afectan al rendimiento inalmbrico, se puede seleccionar y proporcionar una mejor ruta por la WLAN. Esto permite a los HiveAPs seleccionar una nueva mejor ruta para un reenrutamiento transparente y reenvo del trfico. Finalmente, para activar la capacidad de permitir instalaciones WLAN a gran escala como grandes campus corporativos, se ha diseado el AMRP para limitar los mensajes e informacin de enrutamiento dentro de zonas independientes. Esto limita el nmero de entradas en la tabla de rutas que un nico HiveAP necesita mantener. Esto tambin limita la cantidad de trfico broadcast dentro de una red mallada inalmbrica. El diagrama ms abajo representa un ejemplo de las diferencia entre control centralizado y plano de arquitectura de datos encontrados en la mayora de las arquitecturas de controladores WLAN comparado con el control distribuido y plano de datos distribuidos por Aerohive para permitir el reenvo por la mejor ruta.

Diagrama 11. Reenvo de datos centralizados vs distribuidos

Copyright 2007, Aerohive Networks, Inc.

21

Con la arquitectura de control y gestin de datos, se dirige todo el trfico inalmbrico a un controlador WLAN dedicado, lo cual puede estar a muchos saltos o incluso en una ubicacin diferente. Debido a las rutas indirectas y a los tiempos de respuesta entre los APs y los controladores, se introduce una latencia extra (el retraso a travs de un dispositivo) y el jitter (la cantidad variable de retraso a travs de un dispositivo), que tiene efectos adversos en el rendimiento de la WLAN y la calidad de voz. Es especialmente frecuente si se usa mucho la ruta al controlador o el mismo controlador. En contraste, la arquitectura de Control Cooperativo de Aerohive usando AMRP permite el reenvo por la mejor ruta entre dispositivos por la LAN y por la red mallada inalmbrica, evitando una latencia extra y un jitter mientras el trfico pasa entre dispositivos. Es esencial para alcanzar un alto rendimiento y una calidad de voz excepcional.

Seguridad con el reenvo por la mejor ruta

Utilizando la arquitectura WLAN de Control Cooperativo con el reenvo por la mejor ruta, autenticacin, encriptacin, mitigacin de DoS y control de acceso firewall, se aplica la seguridad en el HiveAP antes de que se reenve el trfico dentro de la red. Una vez ese trfico est en la red del campus, el trfico WLAN puede beneficiarse de las implementaciones de seguridad existentes como firewalls, gateways de antivirus y sistemas de deteccin y prevencin de intrusiones (IDS/IPS) que se han implementado para inspeccionar y securizar el trfico de la empresa. Esto est en contraste con soluciones basadas en controladores que tunelan de forma opaca todo este trfico alrededor de la infraestructura de seguridad de red existente y a menudo requiere la compra de una infraestructura de seguridad adicional, o la redireccin del trfico que sale del controlador a estos dispositivos de seguridad para una inspeccin adicional.

Escalabilidad con el reenvo por la mejor ruta

El rendimiento escala de forma lineal segn aumenta el nmero de HiveAPs. Cada HiveAP hace sus propias decisiones de reenvo y usa el reenvo por la mejor ruta para transmitir datos. Sin un dispositivo de reenvo de trfico central que puede convertirse en un cuello de botella, los HiveAPs pueden aprovechar el rendimiento y la capacidad de la infraestructura de la red cableada, dando un rendimiento completo sin bloqueos. Es importante hoy en da y se hace esencial cuando IEEE 802.11n no est disponible, lo cual aumentar el rendimiento de WLANs hasta 10 veces.

Alta disponibilidad
La arquitectura de Control Cooperativo de Aerohive Networks se ajusta perfectamente a las organizaciones que necesitan una fiabilidad de misin crtica sin una planificacin compleja y sin romperse los bolsillos. Las caractersticas de alta disponibilidad de Aerohive vienen por defecto con los HiveAPs y proporcionan muchos niveles de capacidad de recuperacin y redundancia.

Ningn punto nico de fallo

Porque los HiveAPs no utilizan un controlador, la arquitectura WLAN de Aerohive Networks no tiene un punt nico de fallo. Si un nico HiveAP falla, las estaciones cambian automticamente a HiveAPs contiguos igual que si estuviesen haciendo

22

Copyright 2007, Aerohive Networks, Inc.

Cooperative Control Wireless LAN Architecture roaming, sin perder la autenticacin, seguridad, parmetros de QoS o estado de sesin, y sin interrumpir las conexiones de datos o voz. Adems, con los protocolos de enrutamiento de Control Cooperativo y el plano de datos distribuidos, si los HiveAPs dentro de una red mallada fallan, los enlaces ascendentes de Ethernet se desconectan o los switches Ethernet fallan, otros HiveAPs en la ruta mallada alrededor del fallo mantienen la conectividad. Auto-curable por el enrutamiento dinmico rodeando de fallos El siguiente diagrama muestra un funcionamiento WLAN sin fallos y despus la misma WLAN con mltiples fallos incluyendo un switch de acceso y mltiples HiveAPs. La capacidad de recuperacin nativa de los HiveAPs usando los protocolos de Control Cooperativo permite a la red continuar la operacin incluso en el caso de mltiples fallos en lnea. Debido a que no hay control central, no hay que preocuparse del fallo de un nico dispositivo que sea capaz de derribar una red inalmbrica entera.

Diagrama 12. Alta disponibilidad con roaming transparente y enrutamiento automtico

Copyright 2007, Aerohive Networks, Inc.

23

Failover dinmico en la red mallada convierte el acceso a la red mallada si occure un fallo de enlance
En entornos que requieren capacidades de la red mallada inalmbrica para alta disponibilidad, pero que desean las ventajas de rendimiento de las dos radios 802.11a y 802.11b/g para acceso inalmbrico, Aerohive tiene una solucin. Un administrador ahora puede predefinir la radio 802.11a 802.11b/g como un candidato de failover de la red mallada dinmica en los HiveAPs dentro de un Hive. De esta forma, si desenchufa un enlance cableado o falla un switch, el HiveAP deautentica suavemente cualquier cliente inalmbrico en la radio elegida, tipicamente la radio 802.11a y utiliza esa radio para construir una segura conexin mallada dinmica a otro HiveAP. Los HiveAPs enrutan el trfico del cliente de forma dinmica alredador del fallo cableado por el seguro enlance mallado nuevo. Cuando se arregla el fallo, el enlance mallado se desconecta y el acceso se reanuda en las dos radios. Los clientes inalmbricos que se asociaban anteriormente con la radio de acceso que se converti en un enlance mallado pueden recuperar sus conexiones usando la otra radio.

Diagrama 13. Failover dinmico mallado

HiveAPs con el servidor RADIUS integrado

Con un servidor RADIUS integrado en los HiveAPs, los adminsitradores tienen la posibilidad de implementar la red inalmbrica segura con la autenticacin IEEE 802.1X EAP para sus clientes inalmbricos, sin tener que configurar o modificar servidores RADIUS corporativos. Los HiveAPs con el servidor RADIUS habilitado puede finalizar los mtodos de autenticacin 802.1X localmente en el HiveAP. El HiveAP puede autenticar usuarios con una base de datos de usuario local en el HiveAP, con una autenticacin de dominio externo contra Directorio Activo o con autenticacin LDAP y LDAPS contra un almacn de usuarios de LDAP. Porque el procesamiento de clave 802.1X se ejecuta en los HiveAPs para clientes inalmbricos, se descargan los servidores RADIUS corporativos de este procesamiento, preservando su rendimiento. Con la posibilidad de usar cualquier HiveAP como un

24

Copyright 2007, Aerohive Networks, Inc.

Cooperative Control Wireless LAN Architecture servidor RADIUS, los administradores de red tienen la flexibilidad de disear implementaciones redudantes del servidor RADIUS en cualquier parte dentro de la WLAN. Es especialmente til en el sucursal, donde el proceso de autenticacin IEEE 802.1X puede occurir localmente en un HiveAP sin la necesidad de atravesar un enlance WAN. La implementacin de caractersticas como servidores RADIUS en los HiveAPs puede parecer abrumadora pero con el appliance de gestin centralizada HiveManager, la configuracin de servidores RADIUS de HiveAP es un proceso sencillo. Puede gestionar la configuracin del servidor RADIUS, certificados del servidor y usuarios locales desde un interfaz grfico sencillo y fcil de usar.

Cachs de credenciales AAA

Aeohive proporciona la posibilidad de sobrevivir al fallo de un enlance WAN porque no requiere acceso a un controlador central, sin embargo, si el enlance WAN falla, normalmete la autenticacin falla si se utiliza un servidor de autenticacin externo. Aerohive proporciona la posibilidad de guardar nombres de usuario y hashes de contraseas en DRAM para que si hay un fallo de la WAN, la autenticacin an funcionar. Este cacheo funciona solo para los usuarios que han iniciado sesin previamente en un tiempo configurable. Por ejemplo, los usuarios que han iniciado una sesin dentro de las ltimas 48 horas podrn autenticarse pero los usuarios nuevos no tendrn una entrada guardada. Sin embargo, en el caso de un fallo del enlace WAN, los HiveAPs pueden cambiar de la utilizacin de la base de datos externa, a una base de datos de usuario local que reside en los HiveAPs. De esta forma, puede usar estas cuentas que se pueden configurar con grados variantes de niveles de privilegio de la red, en caso de un fallo.

Gestin centralizada
Un sistema de gestin de la red central llamado HiveManager proporciona la configuracin centralizada, la monitorizacin y los informes. Se puede ubicar este appliance de gestin en cualquier parte dentro de la red y no es esencial para la operacin normal de la red.

Gestin sencilla y escalable con el appliance HiveManager NMS

El appliance HiveManager NMS permite una configuracin sencilla, actualizaciones de sistema operativo y la monitorizacin de los HiveAPs dentro de una arquitectura WLAN de Control Cooperativo. Dentro de la arquitectura de Control Cooperativo, los HiveAPs se ocupan de su propio control y funciones de reenvo de datos. Esto deja al HiveManager con la nica responsabilidad de gestionar y monitorizar a los HiveAPs. Aunque se apague o se elimine de la red el HiveManager, los HiveAPs continan funcionando y proporcionando todas sus funcionalidades. Sin toda la sobrecarga de control y reenvo de datos que existe en soluciones de gestin WLAN basadas en controladores, la arquitectura de HiveManager escala para permitir la gestin y monitorizacin de miles de HiveAPs desde una nica consola. Aunque se puede configurar cada HiveAP usando un interfaz de lnea de comandos robusto, se recomienda utilizar el appliance HiveManager para ms que unos cuantos HiveAPs. El appliance HiveManager simplifica la gestin y monitorizacin de los HiveAPs usando una combinacin de vistas de topologas y planos de planta, perfiles

Copyright 2007, Aerohive Networks, Inc.

25

de configuracin y polticas, grupos y plantillas, as como una sencilla configuracin masiva de propiedades de los elementos.

Diagrama 14. Vista de topologa de HiveManager

Componentes y comunicaciones HiveManager

El appliance HiveManager NMS es una nica instancia central de gestin que se puede instalar en cualquier sitio dentro de una red mientras tenga la posibilidad de comunicarse con los HiveAPs por la red con IP.

26

Copyright 2007, Aerohive Networks, Inc.

Cooperative Control Wireless LAN Architecture

Diagram 15. HiveManager Components and Communication

El appliance HiveManager tiene dos interfaces, LAN y MGT (gestin), para permitir la separacin de administracin HiveManager de la configuracin de los HiveAPs, aunque se puede usar un nico interfaz para los dos si se desea. El GUI de gestin para el HiveManager es accesible mediante un navegador web y se descarga automticamente usando Java Web Start. Permite a los administradores ejecutar el GUI de HiveManager desde cualquier PC. Por razones de seguridad, se almacena toda la informacin en el HiveManager y no en el PC local que ejecuta el GUI del HiveManager. Los HiveAPs y el HiveManager se comunican entre s usando el protocolo borrador del IETF (Internet Engineering Task Force) para el estndar CAPWAP (Control and Provisioning Wireless Access Points), as como un conjunto de aplicaciones estndares incluyendo SSHv2, SCP, y SNMP. Con estos protocolos y aplicaciones, el HiveManager puede gestionar de forma segura y efectiva las configuraciones y registros de monitorizacin, y actualizar los sistemas de operacin de los HiveAPs.

Gestin de configuracin simplificada

El interfaz grfico de gestin para el Hive Manager se ha diseado para que miles de HiveAPs se puedan gestionar y monitorizar utilizando perfiles de configuracin. Los perfiles de configuracin en el HiveManager se utilizan para categorizar opciones de configuracin como Hives, SSIDs, RADIUS, radios, clasificacin y marcado QoS, servicios de gestin, y perfiles de usuario. Una vez los perfiles de configuracin estn definidos, se asignan a uno o ms perfiles de HiveAP para atarlos todos juntos. Los perfiles de HiveAP son un mecanismo muy potente utilizado para organizar y aplicar una configuracin a un gran nmero de HiveAPs. Basado en la ubicacin o en un tipo de despliegue lgico, los perfiles de HiveAP asignan perfiles de configuracin y definen asociaciones desde SSIDs a perfiles de usuario e identificadores de VLAN.

Copyright 2007, Aerohive Networks, Inc.

27

Asociando SSIDs, perfiles de usuario e identificadores de VLAN dentro de un perfil de HiveAP, la configuracin de la red se abstrae de la poltica de usuario de QoS y firewall, permitiendo utilizar los mismos perfiles de usuario a lo largo de toda la organizacin, a pesar de las diferencias en la topologa de la red o la configuracin del interfaz (por ejemplo Mallada vs. Acceso). Adems, si se requieren direfentes polticas de firewall o QoS en ubicaciones diferentes, pueden crearse nuevos perfiles HiveAP que asignen los SSIDs a un nuevo conjunto de perfiles de usuario y VLANs en estas ubicaciones. Los perfiles de usuario en diferentes grupos de dispositivo pueden contener diferentes polticas de firewall y QoS, pero pueden definirse con el mismo conjunto de identificadores de grupos de perfiles de usuario como definidos en otros grupos de dispositivo. De esta forma, segn un usuario cambia a una nueva ubicacin, su identificador de grupo de perfil de usuario los asocia al perfil de usuario correspondiente en cada ubicacin. Esto permite una configuracin de usuario de firewall, QoS y VLAN para cambiar dinmicamente y seguir a los usuarios dondequiera que vayan en la WLAN.

Cero configuracin para despliegues de puntos de acceso inalmbricos

Segn los HiveAPs se desplegan, pueden instalarse sin ajustes de configuracin inicial. Cuando los HiveAPs se encienden y conectan a una red que utiliza DHCP o DNS, ellos pueden aprender automticamente la informacin requerida para contactar con el HiveManager. Entonces los HiveAPs usan CAPWAP para contactar con el HiveManager e identificarse as mismos. Una vez identificados, el HiveManager muestra una lista de los nuevos HiveAPs descubiertos. El administrador simplemente asigna los HiveAPs a perfiles de HiveAP, Hives, y mapas de topologa. Desde ah los HiveAPs heredan los ajustes de configuracin. Despus, el administrador puede utilizar actualizaciones de configuracin con un botn para enviar la configuracin inmediatamente a un conjunto de HiveAPs, o programar las actualizaciones de configuracin para ms tarde. Asimismo, si el sistema operativo necesita una actualizacin, el administrador puede seleccionar un conjunto de HiveAPs para enviar o programar inmediatamente actualizaciones de sistema operativo.

Monitorizacin, informes y resolucin de problemas simplificado

Junto con una configuracin y gestin de sistema operativo simplificada, el HiveManager hace sencillo monitorizar y resolver problemas de los HiveAPs en una infraestructura de red inalmbrica. Utilizando vistas de mapas jerrquicos, un completo conjunto de mapas desde una vista del mundo, hasta niveles de planta, se pueden importar para organizar los HiveAPs basados en su ubicacin fsica. Pueden aadirse iconos para representar ubicaciones, edificios, plantas y HiveAPs, y el color de los iconos cambia segn la propagacin de las alarmas de los HiveAPs. Desde cualquier mapa de topologa o desde una lista filtrable y ordenable de HiveAPs gestionados, los administradores pueden, haciendo clic con el botn derecho en la entrada del HiveAP, ver informacin en tiempo real como un listado de clientes inalmbricos asociados, logs, informacin de roaming, configuraciones y estadsticas. Desde el HiveManager, los administradores pueden tambin utilizar herramientas como ping o traceroute, o pulsar un botn para lanzar una conexin SSH directamente contra los HiveAPs para ms tareas avanzadas de resolucin de problemas. El HiveManager tambin permite ver todos los clientes activos en la WLAN, mostrando su direccin IP, direccin MAC, hostname, nombre de usuario (si utiliza

28

Copyright 2007, Aerohive Networks, Inc.

Cooperative Control Wireless LAN Architecture 802.1X), SSIDs, tiempos de inicio de sesin, valores de fuerza de la seal, y los HiveAPs a los que estn conectados los clientes. Esta informacin se almacena en el HiveManager y puede exportarse en un archivo CSV para anlisis forense de la red o resolucin de problemas avanzado. Otra informacin que se puede exportar para realizar informes incluye un informe de inventario de todos los HiveAPs y los principales ajustes de configuracin, informe de HiveAP contiguo e informacin de AP/cliente no autorizado. Para ser ms proactivo, los administradores pueden tambin configurar notificaciones por correo electrnico de forma que pueden informarse inmediatamente de alarmas en la WLAN.

Diagram 16. HiveManager Real-time Active Clients Display

Copyright 2007, Aerohive Networks, Inc.

29

Deteccin de APs no autorizados

Tambin nativo en cada HiveAP es la posibilidad de realizar escaneos fuera de canal para encontrar puntos de acceso y clientes no autorizados. Usando el HiveManager, los administradores pueden configurar polticas de deteccin de puntos de acceso no autorizados para buscar APs que no tienen un BSSID, SSID, configuracin de autenticacin y encriptacin, y otros ajustes de configuracin ms finos que sean vlidos. Adems los HiveAPs pueden detectar si los no autorizados estn en la misma subred y descubrir si estn en la red corporativa o no. Esto permite asegurar que los APs no autorizados no estn conectados a la red corporativa. Tambin impide la degradacin de la calidad de la voz, el escaneo fuera de canal puede configurarse para ejecutarse solo si no hay trfico de voz en las colas.

Conclusin
La contnua migracin desde puntos de acceso autnomos, la evolucin de las redes inalmbricas para permitir aplicaciones en tiempo real/crticas y la inminente llegada de 802.11n demandar arquitecturas que proporcionen infraestructuras de WLAN que sean ms sencillas de desplegar y ampliar, menor coste, mayor disponibilidad, mayor escalabilidad, mayor rendimiento y mas conveniente para Voz sobre WLAN que las generaciones anteriores de WLANs. sta prxima generacin de arquitectura WLAN es una arquitectura de Control Cooperativo.

30

Copyright 2007, Aerohive Networks, Inc.