Blog

Other languagesBosna i Hercegovina Bosna i Hercegovina   

Testirali smo: Aruba Instant On 2.0

Kako pomiriti jednostavnost korištenja, napredne funkcije ali i prihvatljivu cijenu možda najbolje zna Aruba – sa Instant On serijom opreme za bežične mreže upoznali smo se još prošle godine, a ovoga ljeta Aruba je pojačala svoju ponudu novim setom hardvera koji uključuje kompletno novu seriju switcheva te niz novih naprednih funkcionalnosti u sklopu druge velike inačice (major release) Instant On softvera (v2.0). Što se sve može izvesti na novoj Aruba Instant On cloud platformi, pročitajte u nastavku.

 

Prije nego krenemo sa izlaganjem samih testiranja, spomenimo za početak novost u Aruba Instant On portfelju u smislu hardvera, a to je nova linija switcheva 1930 kojima Aruba u potpunosti zaokružuje svoju SMB ponudu mrežne opreme:

 

 

 

Nova produktna linija switcheva

Ako uspoređujemo sa OfficeConnect serijom switcheva (1820/1920S), ono što odmah upada u oko jest povećan power budžet na POE verzijama switcheva kako bi omogućili napajanje većeg broja AP-ova, te mogućnost 10G (SFP+) brzina na uplink portovima što može dobro doći za spajanje na lokalne servere i manja NAS storage rješenja pogotovo ako se uzme u obzir mogućnost agregiranja portova u grupu (link aggregation), pa tako iz ovih switcheva možemo „izvući“ ukupno 40G uplink brzinu na većim (24 i 48 portnim) modelima. Konačno na 8 portnim switchevima iz SMB ponude imamo dovoljno snage za pružanje do 15,4 W po portu, što je dosada bilo rezervirano samo za enterprise razinu switcheva (2930F 8 port POE modeli).

 

 

Novi hardver, novi softver

Otprilike u isto vrijeme kada su predstavljeni novi switchevi dobili smo i drugu „veliku“ inačicu (major release) Instant ON softvera (2.0), koji nam omogućava ne samo prihvat i upravljanje switcheva iz oblaka, nego donosi i pregršt novih mogućnosti. Neke od najznačajnijih smo među ostalima i testirali a pregled testova i zaključke iznosimo u nastavku.

 

Testno okruženje

Setup za testiranje smo sastavili od:

 

  • 1x Aruba Instant On 1930 8G PoE switch
  • 2x Aruba Instant On AP11D
  • 1x laptop PC sa WiFi 802.11ac karticom
  • 1x mobilni uređaj iPhone XR
  • 1x ADSL internet priključak za komunikaciju prema Instant On cloudu

 

TEST 1: „fiksni bridge“ između 2 AP-a 11D

 

 

AP11D spojen na POE port na switchu 1930, drugi AP11D spojen na POE izlaz prvog AP11D. Iako ovo možda izgleda kao da se ne koristi u praksi nije loše provjeriti POE napajanje switcha i AP-ova, kreirati i „provući“ VLAN-ove po portovima, provjeriti stanje indikatora portova na management portalu, te odraditi pripremu drugog AP11D za spajanje bežičnim putem u mesh.

 

 

Prikaz portova na switchu

 

Prikaz portova na AP11D

 

Zaključak: Uplink port na switchu je označen sa zelenim oblakom što znači da je to port preko kojega switch ostvaruje komunikaciju sa cloudom i takav port ima određena ograničenja (nema mogućnost paljenja i gašenja, kao niti 802.1X funkcionalnost). Drugi aktivni (zeleni) port ima oznaku napona što znači da napaja lokalni POE uređaj, a to je u ovom slučaju prvi AP11D. Switch ima dovoljno snage na POE portu za napajanje 2 komada AP11D (što je očekivano jer switch port daje do 30W snage, a svaki od AP11D troši po 9.7 W). Laptop PC se uredno spaja na testnu WiFi mrežu i ima izlaz na Internet, što je vidljivo u prikazu klijenta:

Prikaz stanja Laptop PC-a kao WiFi klijenta

 

TEST2: WiFi bridge (mesh) između 2 AP-a 11D

 

 

U drugom testnom scenariju smo odspojili fiksnu LAN konekciju između 2 AP-a, a drugi AP je spojen na POE injektor kako bi se osiguralo napajanje. Nakon toga se drugi AP automatski prebacuje u mesh mod rada bez ikakve dodatne konfiguracije u sustavu. Laptop PC uređaj smo nakon toga spojili na fiksni LAN priključak drugog AP-a prema shemi.

 

Prikaz stanja AP-a nakon prelaska u mesh mod rada („over-the-air connectivity“)

Zaključak: mesh tehnologija radi savršeno i potpuno automatski bez ikakve dodatne intervencije. Ovdje je vidljivo da za razliku od WiFi klijenata, LAN klijentima nije moguće odrediti kategoriju web prometa kao niti analizirati količine prometa prema određenim web servisima, pa tako nije moguće niti blokirati ili dopustiti pojedine kategorije prometa (content filtering).

Prikaz stanja Laptop PC-a kao LAN klijenta

 

TEST3: Konfiguriranje LAN i WiFi mreža i dodavanje u VLAN-ove

Nakon što smo postavili osnovni setup i testirali mesh mod rada krećemo u konfiguriranje mreža i dodavanje VLAN-ova koje onda raspoređujemo po portovima. Kreirali smo nekoliko LAN i WLAN mreža, prema slici:

 

Prva mreža u popisu je VeracompZG Site i to je defaultna, management mreža koja je automatski dodana prilikom dodavanja novog site-a (korisnika). Defaultna management mreža je u VLAN-u 1 i ta postavka se ne može mijenjati obzirom da ta mreža služi za upravljanje svim uređajima u mreži (da se ne bi dogodio slučaj da se „otpilimo“ sa uplinka zbog pogrešno dodijeljenog management VLAN-a). Pored toga smo kreirali 3 posebne „radne“ LAN mreže sa pripadajućim VLAN-ovima (VeracompLAN u VLAN-u 30 za „obični“ data promet, IPTV u VLAN-u 40 za potrebe spajanja STB uređaja, te VoIP u VLAN-u 50 za IP telefoniju). IPTV i VoIP su fiktivne LAN mreže obzirom da nismo u stvarnosti testirali rad sa STB uređajima, odnosno VoIP telefonima.

Dodatno su kreirane još 3 posebne WiFi mreže:

 

1) VeracompWiFi mreža za zaposlenike sa običnom WPA2 Personal (PSK) autentikacijom:

Primijetimo da ova mreža ne ulazi direktno u VLAN 30, nego u fiksnu mrežu VeracompLAN koja se već nalazi u VLAN-u 30. Stvar je možda estetike, ali ovo je lijep način da se vidi koje LAN i WLAN mreže su međusobno povezane i koji klijenti će biti vidljivi u kojoj mreži.

 

2) VeracompGuest mreža sa captive portal autentikacijom:

 

Za potrebe spajanja gostiju smo odabrali redirect na captive portal o kojem će riječi biti nešto kasnije. Valja napomenuti da u ovom modu rada AP koristimo kao svojevrstan „router“ koji će biti DHCP za klijentske uređaje gostiju te će im dodjeljivati neki pool adresa koje mi odaberemo, a promet će se na AP-u NAT-irati i isporučiti u management mrežu (VLAN 1) koja ima komunikaciju prema internetu:

 

3) VoIPoWLAN mreža namijenjena za spajanje VoIP telefona:

 

Ova WiFi mreža ulazi u fiksnu LAN mrežu VoIP koja je u VLAN-u 40, a za način autentikacije je odabrana RADIUS autentikacija gdje se unose postavke za radius server kao na slici (IP adresa, shared secret, port).

Zaključak: Kreiranje LAN i WiFi mreža se radi vrlo jednostavno, sučelje je vrlo intuitivno, a pogotovo zgodno je dodavanje WiFi mreža u postojeće LAN mreže (a ne u VLAN-e direktno) kako bi se naglasila povezanost između fiksnih (LAN) i WiFi klijenata. Ukoliko pak promet WiFi i LAN klijenata želimo potpuno odvojiti, kreira se posebna fiksna mreža u posebnom VLAN-u te poseban SSID za WiFi klijente koji se dodaje u tu mrežu (kao što smo pokazali na primjeru VoIP i VoIPoWLAN mreža za potrebe VoIP telefonije).

 

TEST 4: Dodavanje switch portova u VLAN-ove (mreže)

Isprobali smo „provlačenje“ VLAN-ova (tj. u ovom slučaju mreža) po portovima na switchu 1930 i na AP-u 11D. Generalno, 2 su moguće opcije:

  • port konfiguriran kao trunk port u kojemu se nalaze svi VLAN-ovi skupa sa management VLAN-om za kojega je moguće postaviti da bude tagiran ili netagiran.

  • port konfiguriran kao access port sa samo jednim VLAN-om za kojega je moguće odrediti da li će biti tagiran ili netagiran:

 

Zaključak: „provlačenje“ VLAN-ova po portovima je vrlo jednostavno i intuitivno. Jedini manji nedostatak je što nije moguće isključiti određene VLAN-ove iz trunk portova (tj. propuštanje ide po principu ili sve ili samo jedan), ali obzirom da su ovakva rješenja predviđena za manje SMB korisnike a ne za velika enterprise okruženja, smatramo da to i nije toliko veliki nedostatak.

 

Test5: Testiranje brzine promjene parametara kroz cloud sustav („do clouda i nazad za manje od 10 sekundi“)

Ovim testom smo htjeli provjeriti brzinu promjena i prihvaćanja parametara u konfiguraciji. Mijenjali smo mrežu (VLAN) na jednom portu na kojeg je spojen laptop PC uređaj, na kojemu smo pustili konstantni ping prema Google-ovom DNS serveru (8.8.8.8):

 

 

Nakon promjene mreže iz VLAN-a 30 (koji ima pristup na Internet) na VLAN 40 koji nema pristup internetu, laptop ostaje bez konekcije na Internet. Vrijeme mjereno između promjene VLAN-a u cloudu i gubitka paketa prema DNS-u je bilo 8 sekundi, što je odličan rezultat.

Zaključak: Rezultat testiranja je pokazao da switch (ili AP) prihvaća i primjenjuje naredbu unutar 10 sekundi od promjene konfiguracije u cloudu, što je vrlo solidan rezultat koji potvrđuje da Aruba Instant On ima brzu i responzivnu cloud management platformu.

 

TEST6: Switch funkcionalnosti dostupne u cloudu

Provjerili smo što je sve moguće konfigurirati na switchu preko cloud management sučelja. U nastavku je pregled svih funkcionalnosti:

Identification

Ovdje je moguća samo promjena naziva uređaja, a od ostalih parametara vidljivi su osnovni podaci o switchu kao što su serijski broj, MAC adresa, informacije o povezivanju switcha na uplink uređaj (connectivity), te informacije o iskorištenosti POE budžeta.

Connectivity

Pod tabom Connectivity možemo postaviti statičku IP adresu na switchu što je poželjno ukoliko imamo više switcheva u mreži ili ako želimo prebaciti switch u Local management mod, o čemu će govora biti nešto kasnije.

Ports

Pod ovim tabom konfiguriramo parametre vezane uz VLAN-ove, odnosno mreže koje želimo „provući“ kroz određene portove. Tu se također nalaze indikatori aktivnih portova (zeleno), kao i informacije o količini podataka prenesenih u uplink i downlink smjerovima. Također, ovdje se konfigurira 802.1X autentikacija i radius serveri prema potrebama.

Networks

Pod ovim tabom nema mogućnosti konfiguriranja parametara, ali je moguće dobiti uvid u stanje pojedinih portova po pitanju mreža (VLAN-ova). Odabirom mreže u padajućem izborniku dobivamo uvid koja mreža je na kojem portu propuštena kao i da li je promet na pojedinom portu tagiran (oznaka „T“ za tagged) ili netagiran (oznaka „U“ za untagged).

Link aggregation

Agregaciju dva ili više portova u jednu logičku grupu za potrebe povećanja ukupne propusnosti i redundancije moguće je izvesti vrlo jednostavno pod tabom Link aggregation. Klikom na portove se odabiru oni koje želimo imati u LAG grupi, a dodatno možemo odabrati koji agregacijski mod želimo koristiti – statički (jednostavniji ali bez detekcije ispada linkova), ili standardizirani LACP/802.3ad ukoliko to druga strana podržava kako bi iskoristili dinamičku detekciju ispada linkova i automatski failover.

Actions

Tab Actions je zanimljiv jer osim lociranja fizičkog uređaja paljenjem signalizacijske LED lampice (locate), mogućnosti ponovnog pokretanja (restart) i brisanja iz baze inventara (remove) dodaje i mogućnost prebacivanja switcha u lokalni management mod koji nam otvara neke dodatne mogućnosti. Više o tome u narednom poglavlju.

Zaključak: Dolaskom switcheva u Aruba portfolio dobili smo i neke potpuno nove softverske funkcionalnosti koje dosada nismo imali u prvoj verziji AION softvera, a možda najvažnija i najkorisnija funkcionalnost je mogućnost tagiranja prometa, tj. “provlačenja” VLAN-ova po portovima. Također valja naglasiti i prednost agregacije više portova u jednu logičku grupu (Link Aggregation), što može biti od velike koristi u ostvarivanju komunikacije prema serverima. Bilo stare ili nove funkcionalnosti, sve su uredno i pregledno grupirane po tabovima čime se olakšava konfiguracija i dobiva brz uvid u stanje u mreži.

 

TEST 7: Prebacivanje u lokalni mod upravljanja (local management)

 

Primjer početnog zaslona (dashboard) na lokalnom management sučelju

 

Kao što smo u prethodnom poglavlju spomenuli, pod tabom Actions jedna od opcija je prebacivanje switcha u lokalni mod upravljanja kako bi se „otključale“ neke naprednije mogućnosti kao što su statički IPv4 routing, access liste, limitiranje brzine po portu, izolacija portova radi sigurnosti (port isolation), denial of service protection, ARP attack protection, DHCP snooping, spanning tree opcije, garancija kvalitete servisa (QoS / CoS) bazirana na 802.1p i DSCP protokolima, podrška za auto-voice VLAN, itd.

Najprije je potrebno postaviti statičku IP adresu na switchu:

 

 

 

Nakon odabira opcije „Switch to local management“ switch će se prebaciti u lokalni mod rada:

 

 

Defaultni username je admin, password polje treba ostati prazno. Nakon prvog logina switch će tražiti postavljanje novih kredencijala.

 

Zaključak: Prebacivanje u lokalni mod je vrlo jednostavno, jedini preduvjet je postavljanje statičke IP adrese i izmjena početnih postavki korisničkog imena i šifre. Prebacivanjem u lokalni mod s jedne strane gubimo mogućnost upravljanja iz clouda, ali zato dobivamo cijeli niz naprednih funkcionalnosti.

 

TEST 8: 802.1X Radius autentikacija na switchu i na Wifi-u

Jedna od naprednijih funkcionalnosti na Instant ON seriji switcheva i AP-ova je svakako i mogućnost konfiguracije 802.1X načina autentikacije korištenjem vanjskih radius servera.

Primjer konfiguracije 802.1X pristupne kontrole na fiksnim (LAN) portovima na switchu:

 

 

Primjer konfiguracije WPA2/WPA3-Enterprise (802.1X) na WiFi mrežama:

 

 

Bilo na switchu portu ili na WiFi mreži, konfiguracija radius parametara je jednaka i vrlo jednostavna – dovoljno je unijeti IP adresu radius servera, shared secret te TCP port (default je 1812). Kod WiFi mreža, obzirom da je veći broj uređaja (AP-ova) sa kojih će dolaziti upiti, poželjno je unijeti i postaviti jednu statičku IP adresu AP-a sa koje će dolaziti upiti prema radius serveru (ovo je važno za konfiguraciju na radius serveru kako bi isti znao sa koje adrese, tj. uređaja mu dolaze upiti).

Zaključak: Ovo je zapravo sve što je potrebno konfigurirati na strani Instant On uređaja za 802.1X autentikaciju. Ostatak konfiguracije se radi na radius serveru. To može biti npr. Aruba ClearPass sa svim svojim naprednim mehanizmima profiliranja klijenata i načinima enkripcije ali za neke jednostavnije primjene može dobro poslužiti i Microsoft NPS (Network Policy Server), pogotovo ukoliko kod korisnika već postoji Windows Server instalacija.

 

TEST 9: Integracija Aruba Instant ON i Microsoft NPS radius servera za potrebe 802.1X autentikacije

 

Konfiguraciju 802.1X autentikacije sa Aruba Instant On prema Microsoft NPS radius serveru smo testirali već ranije, što je detaljno dokumentirano ovdje. Svakako treba pripaziti ukoliko radimo sa Windows server 2019 verzijom da obratimo pozornost na poznate bugove u Windowsima vezane uz NPS servis, opisane ovdje i ovdje.

Zaključak: Instant On se vrlo jednostavno povezuje sa vanjskim radius serverima kao što su Aruba ClearPass ili Microsoft NPS. Dio konfiguracije na samoj AION platformi je vrlo jednostavan i brzo se postavlja. Zahtjevniji dio je onaj na samom radius serveru. Potrebno je pripaziti da su na putu prema radius serveru otvoreni portovi 1812 (i 1813 po potrebi), te ukoliko imamo Windows server 2019 instalaciju da odradimo workaround za NPS servis prema spomenutim uputama.

 

TEST 10: Integracija sa cloud guest providerima (primjer Skyfii)

Jedna od možda najzanimljivijih novosti u Instant On 2.0 verziji softvera je dodavanje mogućnosti integracije sa 3rd party providerima captive portala, presence analitike i lokacijskih servisa.

Ukoliko pod načinom autentikacije za guest mrežu odaberemo opciju „Portal“, imamo mogućnost konfiguracije raznih opcija za captive portale. U suštini, 3 su osnovne mogućnosti – Internal, External i Facebook WiFi. Obzirom da su Internal i Facebook WiFi opcije već od ranije poznate, posvetit ćemo se upravo ovoj varijanti externih captive portala. Iako je moguća konfiguracija vanjskih captive portala hostanih na proizvoljnim web serverima (što je isto tako poznato od ranije na staroj verziji Instant On softvera), nama je najzanimljiviji dio upravo ovaj gdje se pruža mogućnost integracije sa postojećim cloud providerima (Aislelabs, Purple WiFi, Skyfii, te Wavespot).

Isprobali smo integraciju sa od ranije dobro poznatim Aruba partnerom za ovakva rješenja – Skyfii.

Sve što je potrebno konfigurirati na strani Instant On mreže (osim naravno odabira „portal“ pod načinima autentikacije za guest mrežu) jest odabrati pod Site Management -> Guest portal -> External -> Skyfii, kao na slici:

 

Na strani providera (Skyfii) osim što je naravno potrebno imati barem testni demo account, potrebno je dodavanje MAC adrese AP-ova sa kojih će dolaziti upiti:

 

 

Moramo napomenuti da Skyfii nudi cijelu paletu funkcionalnosti po pitanju raznih lokacijskih i presence analitika, praćenje broja klijenata, prikupljanje raznih kontekstualnih informacija o gostima (ukoliko oni naravno dozvole), međutim radi jednostavnosti testiranja mi smo isprobali samo mogućnost kreiranja captive portala. Izrada samih captive portala je toliko jednostavna da nije potrebno nikakvo tehničko predznanje niti editiranje HTML kodova (iako je i to moguće), već je dovoljno klikanje i uploadanje slika i teksta kroz jednostavno GUI sučelje za izradu portala. Možemo zaključiti da se Skyfii zapravo razvio u jednu vrlo ozbiljnu, ali ujedno i „user friendly“ CMS (Content Management System) platformu, poput dobro poznatog WordPress-a.

 

 

Sučelje za izradu captive portala na Skyfii-u je vrlo intuitivno i daje pregršt mogućnosti, a mi smo generirali samo osnovni „welcome“ page sa logom i slikama. Moguće je odabrati različite izglede captive portala za mobilne i za desktop web preglednike, kao što je moguće i posebno kreirati portale za nove ili za postojeće goste koji se ponovno spajaju nakon nekog vremena.

Primjer captive portala na mobilnom web pregledniku

 

Primjer captive portala na desktop web pregledniku

 

ZAKLJUČAK

Nakon tjedan dana provedenih sa fizičkom opremom i testiranja svih navedenih opcija i mogućnosti u novom softveru, možemo zaključiti da se Aruba Instant On razvila u jednu vrlo ozbiljnu, funkcionalnostima bogatu, ali i za korištenje prilično jednostavnu mrežnu platformu namijenjenu prvenstveno SMB segmentu korisnika. Ukoliko na sve to dodamo vrlo pristupačne cijene po kojima je moguće nabaviti sve ove navedene funkcionalnosti bez ikakvog dodatnog licenciranja i skrivenih troškova, možemo zaključiti i opravdati navode sa početka ovog teksta – Aruba je među rijetkim proizvođačima mrežne opreme koji zna na ovako učinkovit način pomiriti naprednu tehnologiju, jednostavnost korištenja i pristupačnu cijenu. To je Aruba Instant On.

 

Za one koji žele znati više

Za sve ostale informacije vezano uz Aruba Instant On seriju produkata savjetujemo korištenje sljedećih izvora znanja:

 

 

Na kraju, na raspolaganju je uvijek i naš Veracomp tim za sve upite bilo prodajne bilo tehničke prirode. Kontaktirajte nas!

 

Treba Vam ponuda ili pomoć pri izradi rješenja? Tražite partnera za implementaciju?

Kontaktirajte nas!