Other languagesBosna i Hercegovina Bosna i Hercegovina   Hrvatska Hrvatska   

Preizkusili smo: Aruba Instant On 2.0

Kako uskladite enostavnost uporabe, napredne funkcije, pa tudi cenovno ugodno ceno, morda najbolje ve Aruba – že lani smo spoznali instant On serijo opreme za brezžično povezavo, letos pa je Aruba povečala svojo ponudbo z novo opremo, ki vsebuje popolnoma novo serijo stikal in ima niz novih naprednih funkcionalnosti v sklopu druge različice (“major release”) Instant On opreme (v2.0). Kaj vse ponuja nova Aruba Instant On cloud platforma preberite spodaj.

 

Preden se posvetimo samemu testiranju, se spomnimo na novost v Aruba Instant on portfelju v smislu opreme, in to je nova linija stikal 1930 s katerimi Aruba v popolnosti zaokrožuje svojo SMB ponudbo mrežne opreme:

 

 

Nova linija stikal

Če primerjamo nova stikala s serijo stikal OfficeConnect (1820 / 1920S), kar takoj pritegne pozornost povečana moč na različicah POE stikal, ki omogočajo napajanje več AP-jev, in možnost 10G (SFP +) hitrosti na portih, ki lahko pridejo v poštev za povezavo z lokalnimi strežniki in manjšimi rešitvami za shranjevanje NAS. Še posebej, če upoštevamo možnost združevanja portov v skupino (združevanje povezav),
zato lahko iz teh stikal “izvlečemo” skupno 40G uplink hitrosti povezave na večjih (24 in 48 portnih) modelih.
8 stikal iz ponudbe SMB ima dovolj moči, da omogočimo do 15,4 W na vrata, kar je bilo doslej rezervirano samo za stikala na ravni podjetja (2930F 8 portni POE modeli).

 

 

Nova oprema, novi programi

 Približno ob uvedbi novih stikal smo dobili še eno “večjo” različico (“major release”) programske opreme Instant ON (2.0), ki nam omogoča ne le sprejemanje in upravljanje stikal iz oblaka,
temveč prinaša tudi peščico novih funkcij. Preizkusili smo nekaj najpomembnejših funkcij in v nadaljevanju predstavljamo pregled testov in zaključkov.

 

Preizkusno  okolje

Sestavili smo testno nastavitev:

  • 1x Aruba Instant On 1930 8G PoE stikalo
  • 2x Aruba Instant On AP11D
  • 1x laptop PC sa WiFi 802.11ac kartica
  • 1x mobilni telefon iPhone XR
  • 1x ADSL internetna povezava za komunikacijo z Instant On cloud

 

TEST 1: “Fiksni most” med 2 AP-a 11D  

 

AP11D je priključen na vrata POE na stikalu 1930, drugi AP11D je povezan na izhod POE prvega AP11D. Čeprav se to morda ne zdi uporabno v praksi, ni slabo preveriti moči POE stikal in AP-jev, ustvariti in “zagnati” VLAN-e na portih, preveriti stanje indikatorjev portov na portalu za upravljanje in pripraviti drug AP11D za brezžično povezavo v »mesh«.

 

 

Prikaz portov na stikalu

 

Prikaz portov na AP11D

 

Zaključek: Uplink port na stikalu je označen z zelenim oblakom, kar pomeni, da so to vrata, prek katerih stikalo komunicira z oblakom in takšna vrata imajo določene omejitve (ni možnosti vklopa in izklopa, niti niso mogoče 802.1X funkcionalnosti).

Drug aktiven (zelen) port ima napetostno oznako, kar pomeni, da napaja lokalno POE napravo, kar je v tem primeru prvi AP11D. Prenosni računalnik se poveže s testnim omrežjem WiFi in ima dostop do interneta, kar je vidno v pogledu odjemalca:

 

 

Prikaz stanja Laptop PC-ja kot odjemalca WiFi

 

TEST2: WiFi most (“mesh”) med 2 AP-a 11D

 

V drugem preskusnem scenariju smo med dvema AP-jema odklopili fiksno povezavo LAN, drugi AP pa smo priključili na POE injektor, da bi zagotovili napajanje. Po tem drugi AP samodejno preide v mrežni način brez dodatne konfiguracije v sistemu. Nato smo prenosni računalnik povezali s fiksnim LAN priključkom druge AP v skladu s shemo.

 

Prikaz stanja AP po prehodu v mrežni način („over-the-air connectivity“)

Zaključek: »Mesh« deluje v popolnosti in samodejno brez dodatnega posredovanja. Tu lahko vidimo, da za razliko od odjemalcev WiFi, odjemalci LAN ne morejo določiti kategorije spletnega prometa ali analizirati količine prometa v skladu z določenimi spletnimi storitvami, zato ni mogoče blokirati ali dovoliti določenih kategorij prometa (filtriranje vsebine).

Prikaz stanja Laptop PC-ja kot odjemalca LAN

 

Test3: Konfiguriranje LAN in WiFi omrežja in dodajanje v omrežje VLAN

Po nastavitvi osnovnega setupa in testiranju »mesh« načina začnemo s konfiguriranjem omrežij in dodajamo VLAN-e, ki jih nato uredimo po portih. Ustvarili smo več omrežij LAN in WLAN, kot na sliki:

Prvo omrežje na seznamu je spletna stran VeracompSL in ta je privzeta. Upravljavsko omrežje se samodejno doda ob dodajanju novega spletnega mesta (uporabnika). Privzeto omrežje za upravljanje je v omrežju VLAN 1 in te nastavitve ni mogoče spremeniti, saj se to omrežje uporablja za upravljanje vseh naprav v omrežju (tako, da zaradi napačno dodeljenega VLAN-a za upravljanje nismo “odstranjeni” iz uplinka). Poleg tega smo ustvarili 3 posebna “delujoča” omrežja LAN s pripadajočimi omrežji VLAN (VeracompLAN v VLAN 30 za “navaden” podatkovni promet, IPTV v VLAN 40 za povezavo naprav STB in VoIP v VLAN 50 za IP telefonijo). IPTV in VoIP sta fiktivna omrežja LAN, saj delata s STB napravami, torej VoIP telefonom, in pa jih dejansko nismo preizkusili.

Poleg tega so bila ustvarjena še 3 posebna omrežja WiFi:

 

1) VeracompWiFi omrežje za zaposlene s preverjanjem avtentikacije WPA2 Personal (PSK):

Upoštevajte, da to omrežje ne vstopa neposredno v VLAN 30, ampak v fiksno omrežje VeracompLAN, ki se že nahaja v VLAN-u 30. Tako lahko vidite, katera omrežja LAN in WLAN sta med seboj povezana in kateri odjemalci bodo vidni v katerem omrežju.

 

2) Omrežje VeracompGuest z avtentifikacijo portala:

Za namen povezovanja gostov smo izbrali preusmeritev na “captive portal”, o čemer bomo razpravljali pozneje. Upoštevati je treba, da v tem načinu AP uporabljamo kot nekakšen “usmerjevalnik”, ki bo DHCP za gostujoče odjemalske naprave in jim bo dodelil nekaj naslovov bazena, ki ga izberemo. Promet na AP se NAT-ira in sporoča v omrežje za upravljanje ( VLAN 1), ki ima komunikacijo z internetom:

 

3.) VoIPoWLAN omrežje za povezovanje VoIP telefonov:

 

To WiFi omrežje vstopi v fiksno omrežje VoIP v omrežju VLAN 40, za način avtentikacije pa je izbrana RADIUS avtentikacija, kjer so nastavitve za radius strežnik vnesene kot na sliki (IP naslov, »shared secret«, port).

Zaključek: Ustvarjanje LAN in WiFi omrežij je zelo preprosto in vmesnik je zelo intuitiven. Še posebej priročno pa je, da v obstoječa omrežja LAN (in ne neposredno v VLAN) dodate WiFi omrežja, tako bi se poudarila povezava med fiksnim (LAN) in odjemalci WiFi . Če želimo popolnoma ločiti promet odjemalcev WiFi in LAN, se v posebnem VLAN-u ustvari posebno fiksno omrežje in v to omrežje doda poseben SSID za odjemalce WiFi (kot smo pokazali na primeru VoIP in VoIPoWLAN omrežij za VoIP telefonijo).

 

TEST 4: Dodajanje stikalnih portov v VLAN (omrežja)

Poskusili smo “vlečenje” VLAN-ov (torej v tem primeru omrežij) na vratih na stikalu 1930 in na AP 11D. Na splošno sta možni dve možnosti:

 

  • Port, konfiguriran kot »trunk port«, v katerem so vsi VLAN-i, skupaj z upravljalnim VLAN-om, ki ga je mogoče nastaviti tako, da ga označite ali odznačite.

  • Port, konfiguriran kot dostopna točka z le enim VLAN-om, za katerega je mogoče določiti, ali bo označena ali neoznačena.

 Zaključek: “Vlečenje” VLAN-ov po portih je zelo preprosto in intuitivno. Edina manjša pomanjkljivost je, da določenih VLAN-ov iz »trunk porta« ni mogoče izključiti (tj. prepuščanje poteka po načelu ali vse ali samo eno), a ker so takšne rešitve zasnovane za manjše SMB uporabnike in ne za velika podjetja, menimo, da to ni tako velika pomanjkljivost.

 

Test5: Testiranje hitrosti spremembe parametrov skozi oblačni sistem (“v oblak in nazaj v manj kot 10 sekundah”)

S tem testom smo želeli preveriti hitrost sprememb in sprejemljivost parametrov v konfiguraciji. Menjali smo omrežje (VLAN) na enih vratih, na katerega je priključena prenosna računalniška naprava, na katerem smo sprostili stalen ping Googlovemu strežniku DNS (8.8.8.8):

 

Po zamenjavi omrežja z VLAN 30 (,ki ima dostop do interneta) v VLAN 40 (,ki nima dostopa do interneta) prenosni računalnik ostane brez internetne povezave. Čas, izmerjen med menjavoVLAN-a v oblaku in izgubo paketa v skladu z DNS, je bil 8 sekund, kar je odličen rezultat.

Zaključek: Rezultat testa je pokazal, da stikalo (ali AP) sprejme ukaz in uporabi ukaz v 10 sekundah od spremembe konfiguracije v oblaku, kar je zelo soliden rezultat, ki potrjuje, da ima Aruba Instant On hitro in odzivno platformo za upravljanje oblaka.

 

TEST6: Stikalne funkcionalnosti, ki so na voljo v oblaku

Preverili smo, kaj je mogoče nastaviti v stikalu prek vmesnika za upravljanje v oblaku. Spodaj je pregled vseh funkcionalnosti:

Identifikacija/Identification

Tu se lahko spremeni samo ime naprave, drugi parametri pa prikazujejo osnovne informacije o stikalu, kot so serijska številka, MAC naslov, informacije o priključitvi stikala  na napravo »uplink«in informacije o porabi proračuna POE.

Povezava/Connectivity

Na zavihku Povezava lahko na stikalu nastavimo statični IP naslov, kar je zaželeno, če imamo v omrežju več stikal ali če želimo preklopiti na način lokalnega upravljanja, o čemer bomo razpravljali pozneje.

Ports

Na tem zavihku konfiguriramo parametre, povezane z omrežji VLAN, torej omrežja, ki jih želimo “potegniti” skozi določena vrata. Obstajajo tudi kazalci aktivnih portov (zeleni), pa tudi podatki o količini poslanih podatkov v smeri uplink in downlink. Prav tako so po potrebi konfigurirani strežniki za preverjanje pristnosti in radius strežniki 802.1X.

Omrežje/Networks

Na tem zavihku ni mogoče konfigurirati parametrov, vendar je mogoče dobiti vpogled v stanje posameznih portov glede na omrežja (VLAN). Z izbiro omrežja v spustnem meniju dobimo vpogled v to, katera mreža je prepustna na katerih portih in ali je promet na posameznih portih označen (označen s »T« za označena) ali neoznačen (z oznako »U« za neoznačen).

Link aggregation

 

O združevanju dveh ali več portov v eno logično skupino za povečanje skupne pasovne širine in redundance je mogoče preprosto poročati na zavihku Povezava. S klikom na port izberemo tiste, ki jih želimo imeti v skupini LAG, in lahko dodatno izberemo, kateri način združevanja želimo uporabiti – statični (enostavnejši, vendar brez zaznavanja izpada povezave) ali standardiziran LACP / 802.3ad, če ga druga stran podpira. Tako lahko izkoristimo dinamično odkrivanje izpada povezave in avtomatski failover.

Aktivnosti/Actions

Zavihek Aktivnosti je zanimiv, ker poleg lociranja fizične naprave z vklopom LED signalizacije (“locate”) in možnosti ponovnega zagona (“restart”), ter brisanja iz baze inventarja (“remove”) doda možnost preklopa stikala v način lokalnega upravljanja, kar odpira nekatere dodatne možnosti. Več o tem v naslednjem poglavju.

Zaključek: S prihodom stikal v portfelju Aruba smo dobili nekaj povsem novih funkcionalnosti programske opreme, ki jih v prvi različici programske opreme AION nismo imeli, morda pa je najpomembnejša in uporabna funkcionalnost sposobnost označevanja prometa, torej “vlečenje” VLAN-ov na porte. Prav tako je treba poudariti prednost združevanja več portov v eno logično skupino (Link Aggregation), kar je lahko zelo koristno pri komunikaciji s strežniki. Ne glede na to, ali so stare ali nove funkcionalnosti, je vse pregledno in jasno razvrščeno po zavihkih, kar olajša konfiguracijo in omogoča hiter vpogled v stanje omrežja.

 

TEST 7: Prehod v lokalni način upravljanja (“local management”)

 

Primer nadzorne plošče (“dashboard”) na lokalnem upravljalnem vmesniku

 

Kot smo že omenili v prejšnjem poglavju, je na zavihku Aktivnosti ena od možnosti, da preklopite na lokalno krmiljenje in s tem “odklenete” nekatere bolj napredne funkcije, kot so: statično usmerjanje IPv4, dostopni seznami, omejitev hitrosti portov, izolacija portov zaradi varnosti (“port isolation”), zavrnitev zaščite storitve, zaščita pred napadi ARP, snooping DHCP, spanning tree možnost, jamstvo za kakovost storitve (QoS / CoS), ki temelji na protokolih DSCP 802.1pi, podpora za samodejni glasovni VLAN itd.

Najprej morate na stikalu nastaviti statični IP naslov:

 

 

Po izbiri možnosti “Preklopi na lokalno upravljanje” bo stikalo preklopilo na lokalni način:

 

Privzeto uporabniško ime je admin, polje za geslo naj ostane prazno. Po prvi prijavi bo stikalo zahtevalo nastavitev novih poverilnic.

Zaključek: Preklop v lokalni način je zelo preprost, edini pogoj je nastavitev statičnega naslova IP in sprememba začetnih nastavitev uporabniškega imena in gesla. S prehodom na lokalni način na eni strani izgubimo sposobnost nadzora iz oblaka, vendar zaradi tega dobimo celo vrsto naprednih funkcionalnosti.

 

TEST 8: Preverjanje avtentikacije 802.1X radiusa na stikalu in na Wifi

Ena izmed naprednejših funkcij v seriji stikal in AP-jev Instant ON je zagotovo možnost konfiguriranja načinov avtentikacije 802.1X z uporabo zunanjih radius strežnikov.

Primer konfiguracije nadzora dostopa 802.1X v fiksnih portih LAN na stikalu:

 

Primer konfiguracije WPA2 / WPA3-Enterprise (802.1X) v omrežjih WiFi:

Ne glede na to ali je v stikalnem vmesniku ali v omrežju WiFi, je konfiguracija parametrov radiusa enaka in zelo preprosta – dovolj je, da vnesete IP naslov radius strežnika, »shared secrets« in pristanišča TCP (privzeto je 1812). Za omrežja WiFi, ker obstaja veliko število naprav (AP), iz katerih bodo prišle poizvedbe, je zaželeno vnesti in nastaviti en statični IP naslov AP, iz katerega bodo poizvedbe prišle na radius strežnik (to je pomembno za konfiguracijo na radiusnem strežniku tako, da se ve, s katerega naslova, tj. naprave, ki prihajajo v njegovo poizvedbo).

Zaključek: To je pravzaprav vse, kar je potrebno konfigurirati na Instant On za napravo 802.1X za preverjanje pristnosti. Preostali del konfiguracije se izvede na radius strežniku. To je lahko na primer Aruba ClearPass z vsemi naprednimi mehanizmi za profiliranje odjemalcev in načini šifriranja, vendar pri nekaterih preprostejših aplikacijah lahko tudi Microsoft NPS (Network Policy Server) dobro deluje, še posebej, če uporabnik že ima nameščen sistem Windows Server.

 

TEST 9: Integracija strežnikov Aruba Instant ON in Microsoft NPS radius strežnikov za preverjanje avtentikacije 802.1X

Že prej smo preizkusili konfiguracijo pristnosti 802.1X Aruba Instant On proti strežniku radius Microsoft NPS, ki je tu podrobno dokumentirana tukaj. Bodite previdni, če delate z različico Windows Server 2019 in bodite pozorni na znane napake v sistemu Windows, povezane s storitvijo NPS, ki so opisane tukaj in tukaj.

Zaključek: Instant on se zelo enostavno poveže z zunanjimi radiusnimi strežniki, kot sta Aruba ClearPass ali Microsoft NPS. Del konfiguracije na sami platformi AION je zelo preprost in hiter za nastavitev. Zahtevnejši del je tisti na samem radius strežniku. Poskrbeti je treba, da so porti 1812 (in po potrebi 1813) odprti na poti do radijskega strežnika in, če imamo namestitev Windows Server 2019, da pripravimo rešitev za storitev NPS v skladu z omenjenimi navodili.

 

TEST 10: Integracija z gosti v oblaku (primer Skyfii)

Ena izmed najzanimivejših novosti programske opreme Instant On 2.0 je dodajanje možnosti integracije s ponudniki lastnih portalov, analitika prisotnosti in lokacijske storitve.

Če izberemo možnost »Portal« v okviru metode avtentikacije za gostujoče omrežje, imamo možnost konfiguriranja različnih možnosti za lastne portale. V osnovi so 3 osnovne funkcije – notranja, zunanja in Facebook WiFi. Ker sta interni in Facebook WiFi možnosti že znani, se bomo posvetili tej varianti zunanjih »captive portalov«. Čeprav je mogoče konfigurirati zunanje portale, zaprte na poljubnih spletnih strežnikih (kar je znano tudi že prej v stari različici programske opreme Instant On), je za nas najbolj zanimiv tisti del, kjer obstaja možnost integracije z obstoječimi ponudniki oblakov (Aislelabs, Purple WiFi, Skyfii) in Wavespot).

Poskusili smo integracijo s prej znanim partnerjem Arube za takšne rešitve – Skyfii.

Vse, kar morate konfigurirati na omrežju Instant On (razen seveda, da izberete “portal” pri metodah avtentikacije gostujočega omrežja), je, da izberete pod Upravljanje spletnega mesta -> Portal za goste -> Zunanji -> Skyfii, kot je prikazano na sliki:

 

Na strani ponudnika (Skyfii) je poleg dejstva, da je seveda treba imeti vsaj testni demo račun, dodati MAC naslov AP-jev, s katerega bodo poizvedbe prišle:

 

Omeniti moramo, da ponuja Skyfii celoten obseg funkcionalnosti v smislu različne analize lokacije in prisotnosti, sledenje številu strank, zbiranje različnih kontekstnih informacij o gostih (če seveda to omogočajo), vendar smo zaradi lažjega testiranja preizkusili le možnost izdelave »captive portala«. Ustvarjanje samih portalov, ki jih uporabljate, je tako preprosto, da ni potrebno nobeno tehnično predhodno znanje ali urejanje HTML kod (čeprav je to mogoče), dovolj pa je, da kliknete in naložite slike in besedilo prek preprostega vmesnika GUI, da ustvarite portal. Zaključimo lahko, da se je Skyfii pravzaprav razvil v zelo resno, a tudi “uporabniku prijazno” platformo CMS (Content Management System), kot je dobro poznan WordPress.

Vmesnik za ustvarjanje »captive portala« na Skyfii je zelo intuitiven in ponuja peščico možnosti, ustvarili smo le osnovno stran “dobrodošlice” z logotipom in slikami. Izberete lahko različne postavitve portalov z lastnimi spletnimi mesti za mobilne in namizne spletne brskalnike, prav tako je mogoče ustvariti ločene portale za nove ali obstoječe goste, ki se čez nekaj časa ponovno povežejo.

 

Primer »captive portala« v spletnem brskalniku za mobilne naprave

 

 

Primer »captive portala« v “desktop” brskalniku

ZAKLJUČEK

Po enem tednu, preživetem s fizično opremo in preizkušanju vseh zgornjih možnosti in možnosti v novi programski opremi, lahko ugotovimo, da se je Aruba Instant On razvila v zelo resno, bogato s funkcijami, a tudi precej preprosto mrežno platformo, namenjeno predvsem uporabnikom SMB. Če k temu prištejemo še zelo dostopne cene, po katerih je mogoče pridobiti vse te funkcionalnosti brez dodatnih licenc in skritih stroškov, lahko trditve iz začetka tega besedila zaključimo in utemeljimo – Aruba je med redkimi proizvajalci omrežne opreme, ki zna uskladiti napredne tehnologije, enostavno uporabo in dostopno ceno. To je Aruba Instant On.

 

Za tiste, ki želite vedeti več

Za vse ostale informacije, povezane s serijo izdelkov Aruba Instant On, priporočamo uporabo naslednjih virov:

 

Naša skupina Veracomp je vedno na voljo za kakršna koli vprašanja, bodisi prodajna ali tehnična. Pokličite nas!

 

 

Potrebujete ponudbo ali pomoč pri konfiguraciji rešitve? Iščete partnerja za implementacijo?

Kontaktirajte nas!