JAN ŠOUN

BYOD, mobilita a
bezdrátové sítě HP
Jan Šoun, Avnet
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Agenda
• Novinky v oblasti switching portfolia
• Bezdrátové portfolio a novinky
• Unifikovaný bezdrátový a drátový management
• BYOD řešení a řešení přístupu hostů
• Přestávka
• Praktická ukázka BYOD řešení
2
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Novinky v oblasti
switching portfolia
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
HP 1920 Switch Series
Náhrada původní řady HP 1910
• Nové technologie s nižší spotřebou
• Kompaktnější design
• Extra SFP porty
• L3 statický routing, ACLs
• HP doživotní záruka + 3 roky 24x7 telefonická
podpora
4
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
HP 2530 Switch Series
Nové modely s 10GbE porty
• 8, 24, 48 port 10/100 a gigabitové switche
• PoE+ / non PoE+ modely
• Nově modely s 2x 10Gb SFP+ uplniky
• HP doživotní záruka + 3 roky 24x7 telefonická
podpora
5
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
HP 5130 EI Switch Series
Nová generace gigabitového kraje
• Lite L3 (statický a RIP routing)
• IRF až 9 zařízení
• 4x integrované 10Gbe SFP+ porty (vše v předu)
• Comware 7
• Popora OpenFlow 1.3 pro SDN
• Nižší spotřeba, hlučnost, kompaktnější šasi
• 24G-SFP verze s redundantními interními zdroji
• Cenová politika = 5120EI + 2xSFP+
• HP doživotní záruka + 3 roky 24x7 telefonická
podpora
6
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
HP 5400R zl2 Switch Series
• Pokročilé L2-L4 funkce
• OSPF, BGP, policy based routing
• Redundantní management moduly a napájení
HP 5406R zl2 Switch
• 6-slot a 12-slot šasi
• Až 288 full PoE+ portů
• Virtualizace s HP Advanced Services v2 zl
moduly
• Popora OpenFlow 1.3 pro SDN
• HP doživotní záruka + 3 roky 24x7 telefonická
podpora
HP 5412R zl2 Switch
7
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
HP FlexFabric 5700 Switch Series
L2 ToR prvek do datového centra
• L2 switch s Lite L3 funkcemi (statický a RIP routing)
• Comware 7
• IRF
• Redundantní zdroje, volitelný směr chlazení
• 40GbE uplinky
• Popora OpenFlow 1.3 pro SDN
8
•
JG894A: 48*1G + 2* 0G + 2*40G
•
JG896A: 40*10G + 2*40G,
•
JG898A: 32*10GT + 8*10G + 2*40G
• Možnost vertikální virtualizace jako linková karta
nadřazeného IRF systému (HP 5900, 11900,
12900) včetně zachování lokálního switchingu
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Bezdrátové portfolio a
novinky
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Controller Portfolio Positioning
HP Unified Mobility module for the 10500 and 7500 chassis
•
Large
Enterprise
•
128 up to 1024 APs per unit with support for redundancy
20G throughput and 20K users
HP 870
•
•
256 up to 1536 APs per unit with redundancy for links, power, and APs
40G throughput and 30K users
HP 10500/7500 20G Unified Wired-WLAN Module
HP 870 Unified Wired-WLAN Appliance
HP 850
•
•
64 up to 512 APs per unit with redundancy for links, power, and APs
10K users
HP 830 Enterprise Branch Office Solution
•
•
Mid-size Enterprise
•
10
HP 830 Enterprise Branch Office Solution
Integrated switch/WLAN controller with redundancy
Two models address range of branch office requirements
up to 24/60 APs
MSM775 zl for 5400/8200 zl and MSM760 appliance
•
•
•
40 up to 200 APs per unit with N+1 redundancy
MSM760 Packaged in Access Control & Premium versions
MSM775 Premium version only
MSM760
MSM720
•
•
•
•
MSM720
10 up to 40 APs
Up to 40 in a Team
Packaged in Access Control and Premium Mobility versions
Premium version adds L3 Mobility Services, Teaming, and 1+1 redundancy
Price/Performance
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
MSM775
zl
Positioning guidelines – new customers
APs
Hospitality
Mid-Size Enterprise
Large Enterprise
1000+
800
Unified
Unified
600
Unified
400
200
0
MSM
MSM
Assumes 10-30 clients per radio and 20 -60 clients per dual radio AP;
10 clients/radio for rich media bandwidth intensive application (Voice)/ 30 clients/radio for data only
11
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Rozšiřujeme nabídku lokálních plnohodnotných kontrolerů
Unifikované kontroléry – přistupujte ke své WIFI stejně jako k drátové síti
HP 870 Unified wired-WLAN Appliance
Až 30k zařízení
HP 850 Unified wired-WLAN Appliance
• Stejný OS a bezpečnostní funkce jako na
přepínači
• Extrémní škálovatelnost až na 30k koncových
zařízení a až 1536 AP
• Správa spektra a navigace klientů na té nejvyšší
úrovni
• Lifetime warranty 2.0 i na enterprise kontroléry
Až 10k zařízení
12
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Zajímavé funkce HP Unified Wired&Wireless
• Distribuovaná webová autentizace pro hosty
– Ideální pro scénáře dislokovaného bezdrátového kontroléru a pobočkové WIFI
– Nezatěžuje WAN linky „nedůležitým“ provozem hostů
• Wireles IPS v rámci stejného WIFI kontroléru
– V ceně kontroléru bez nutnosti dokupu licencí
– Detekce a potírání různých útoků na bezdrátovou infrastrukturu
– AP lze dedikovat jako WIPS senzory nebo je nechat fungovat v hybridním módu
• 802.1X Hot Backup
– Funkce uplatňující se při využití redundantních kontrolerů
– Kontroléry synchronizují stav klientské 802.1X autentizace. Klienti nejsou při failover stavu
odpojeni.
13
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
HP 425 Access Point
Entry level AP for those cost sensitive customers
• Dual radio / dual band access point – complements the
MSM430
• Plenum Rated
• 2x2:2 MIMO (300Mb/s per radio)
• PoE or local power (PS sold separately)
• Four Embedded antennas – optional ext. antennas
• Works with Unified and MSM Controllers (MSM720/MSM76x)
• Supports controlled mode only
• Eco-friendly 8 pack
14
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
HP 560 Wireless 802.11ac Access Point
Overview
HP 560 is part of a series of next generation access
points that introduces 802.11ac support
HP 560 shares the same access point capabilities as
the MSM460 access point
It leverages the MSM460 hardware platform and replaces Radio 1
(802.11n radio) with a 802.11ac radio
• The 802.11ac radio on the HP 560 is hardware constrained to operate in
the 5 GHz band only.
15
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
HP 417 Unified Walljack features and benefits
Feature
Benefit
Single radio 802.11b/g/n
radio
Entry level 802.11n Walljack
2x2:2 MIMO
Ideal for cost-sensitive Hospitality market
GigE Uplink, three - 10/100
bottom facing Ethernet ports
and one pass-through port
Higher uplink speed versus MSM317, improved cable
connection design that won’t “crimp” cables should furniture
come in contact with the walljack
Single radio Single band
Wireless Walljack supporting
PoE
802.11b/g/n 2x2:2 for entry
level hotel rooms and college
dormitory rooms
Embedded high gain antenna
16
With PoE in, able to provide PoE Class 2 out
With PoE+ in, able to provide full class 3 out
Easily hidden in room
Utility box wall mount, wall
and desktop mount
Flexible mounting options
HP 800 Series / 10500/7500
Unified module and
controllers
Will work with all Unified controllers
20 Pack
Eco Friendly – saves 44% packaging and storage, easier to
unpack
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
HP 517 WallJack 802.11ac Switch
Support the mobile device explosion with wired-like user experience
Ideal for
• Dense client environments or video applications
• Ideal for transmitting high volumes of data
• Customers looking for the highest performance
Benefits
• Delivers increased bandwidth for video applications
• Enhanced performance in dense client environments
• Faster file upload and download speeds
• Enhances the performance of 802.11n clients
17
802.11AC - 3X THE SPEED OF
802.11N !
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
HP Cloud Managed AP
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
HP WIFI z cloudu snadno a škálovatelně
HP Cloud-Managed Networking
Cloud Network Manager
• Nízké vstupní náklady, plaťte jen co právě
užíváte
• Jednoduché nasazení bez nutnosti IT na místě
• AP se „samo“ najde s kontrolérem jakmile ho
připojíte k internetu
• Bohatá sada funkcionalit a voleb
• Podpora WIFI IDS
HP 365
3X3:3 802.11ac/n
HP 355
HP 350
3X3:3 802.11n
2X2:2 802.11n
•
HP Clear Connect – automatické ladění sítě a
rozkládání zátěže
• Výhodné TCO s Lifetime Warranty 2.0
• Do budoucna nejen WIFI
1,2
19
Based on HP internal calculations
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
WIFI pro menší a střední
firmy
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
HP M210 and HP M220 802.11n Access Points
Feature Differences
Feature
M210 AP
M220 AP
IEEE 802.11n, 802.11a/b/g/n single radio; dual band
X
X
Internal antenna design
X
X
2x3:2 MIMO design; up to 300Mbps throughput
X
X
SSIDs supported
4
8
VLANs supported
4
8
User based authentication
X
X
MAC based authentication
X
X
RADIUS based VLAN assignment
X
X
Rogue AP detection
X
X
WDS support (wireless point to point network
bridging)
X
X
Maximum clustered APs
4
16
Maximum wireless clients supported
32
64
SNMP support
No
Yes
PoE powered (AC to DC adapter included)
X
X
Price
$
$$
HP lifetime warranty 2.0
X
X
21
HP M210 Access Point
Ideal for small wireless
LAN coverage of up to 4
APs
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
HP M220 Access Point
NEW! Software update
increases maximum
clustered APs from 10 to 16
and adds SNMP read/write
support
Better suited for wireless
LAN coverage requiring 5 –
16 APs
Jak funguje clustering?
Primary Use Case
Clustering
• A cluster must exist on the same subnet
• Multiple clusters can exist on the same network
• Examples of configuration parameters:
– SSID (wireless network name)
– VLAN configuration
– Wireless encryption – security, passphrase
– Radio configuration
– RADIUS server configuration
1 cluster with many Aps (up to 16 APs)
Secondary Use Case
Cluster A
Cluster B
Multiple clustered AP groups in either the same
network or separate networks/locations
22
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Unifikovaný bezdrátový a
drátový management
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
IMC – Unified Network Management
Introducing a plug-and-play BYOD and WLAN Management Solution
Single pane-of-glass management
virtual appliance
Intelligent Management Center IMC User
Access Manager
• Integrated database and OS
• Optional WLAN manager
• Fully integrated user access policy Speeds
installation, easier to use
• Unified wired and wireless topology views
• Unified device to include WLAN module and WLAN
switch
• Unified user-interface and policy deployment (QoS,
ACL’s NAC, etc…)
24
Simplicity from order to deploy –
One part number, one file, one license
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Wireless Service Manager overview
Provides information
on the overall health
and status of the
wireless network
25
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Device resource page
•
•
•
•
•
•
26
Device Information
Performance Information
Fault (alarm)
Configuration Specifics
Device Action menus
Asset Management
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
WSM - clients
• MAC
Address
• Username
• IP
Address
• SSID
27
•
•
•
•
•
Channel
RX Rate (Mbps)
Total Traffic
Online Duration
AP
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
WSM access points radios
•
•
•
•
•
•
•
•
•
28
Access Point
Radio ID
Radio Type
Vendor
Current Transmission
Power (dBm)
Channel
Number of Neighbors
Admin Status
Operation Status
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
WSM RF management
29
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Spectrum Analysis
30
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Power Saving - Scheduling
WSM
AC
Turn off POE port for
AP from 0 am to 6
am
AP radio switch on/off timer
AP SSID enable / disable timer
PoE port disable
Turn off AP
radio from 23
pm to 9 am
tomorrow.
POE POE
Student dormitory
31
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Turn off student SSID
but teacher SSID
maintains from 22 pm
Office building
Non-Real Time Location
Solution：
Sampling technique - RF fingerprinting
AP must be in monitor or hybrid mode.
AP captures the wireless package from client, AP utilizes client's signal strength for location
Locate client, rogue client and rogue AP
Single instant in time client location – no client tracking
WSM queries AC for AP scan results
Location accuracy - 10 ~ 20M
IMC / WSM
Client
Bob
32
APs send client signal info to the AC
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Real Time Location
Solution：
Sampling technique - RF fingerprinting
iNode scans the AP signal as the location data, and then reports location to WSM
Locate multiple wireless clients running iNode
Real time tracking of the wireless clients running iNode
Positioning accuracy of 5 ~ 15M
iNode sends AP signal info to WSM
IMC / WSM
iNode
Bob
33
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Od BYOD k MDM
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Kompletní BYOD řešení od HP
HP Intelligent Management Center BYOD řešení
Onboarding
Monitoring
Provisioning
• Identifikace uživatele a
zařízení
• Vynucení bezpečnostních
politik
• Statistiky využítí sítě
jednotlivými zařízeními
• Kontrola splnění podmínek
přístupu
• Nezávisle na lokalitě
• Karanténa zařízení u
kterých je zjištěna
anomálie
Sjednocený management drátových a bezdrátových sítí
Spolupráce s MDM a IPS platformami
35
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Co je HP BYOD?
•
Kompletní centralizace BYOD řešení v iMC
•
Použití modulů UAM, WSM, EAD a UBA
•
Použití DHCP plugin
•
Výhoda v managementu napříč celou sítí
•
Zvolena střední cesta mezi jednoduchostí a
MAC OUI
DHCP Options
Use MAC Prefix to Determine
Vendor
Analyse DHCP Request Options
HTTP User Agent
View HTTP User-Agent Details
bezpečností
•
36
Teoreticky nezávislé na výrobci infrastruktury
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Postup připojení k síti
Onboarding
Onboarding
Provisioning
Provisioning
• Široké možnosti politik
• Konzistentní napříč lokalitami
• Redukovaná náročnost
připojení
• Potlačení administrativy
IMC UAM
1 Autentizace
zařízení
MAC
37
IMC UAM
2 Autentizace
uživatele
Portálová
registrace, 802.1X
IMC
3 Fingerprinting
zařízení
Výrobce + OS +
Zařízení
IMC UAM
IMC EAD
4 Podmínky
5 Hloubková
přístupu
kontrola
koncového
zařízení
Výrobce + OS + Zařízení
iNode klient
+ Lokalita + SSID + Čas
…
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
IMC UAM
6
Vynucení
VLAN či ACL
VLAN, ACL
Jednoduché „MDM“ přímo v iMC
•
•
•
•
•
38
Možnost vytvoření konfiguračních nastavení
WIFI sítě pro jednotlivé typy zařízení
SCEP – jednoduchý enrollment certifikátů
WI-FI template pro nastavení SSID a ověření
uživatelů
Bezpečnostní politiky iOS zařízení, např. PIN
lock
Nastavení Android zařízení
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Uživatelská zkušenost na Apple iOS
39
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Doplňte BYOD MDM řešením pro maximální bezpečnost
Integrace s předními světovými MDM výrobci
Základní BYOD
On-boarding Provisioning
Monitoring
Snadná MDM integrace
Kompletní MDM řešení
včetně možnosti
virtualizace aplikací
40
Výrobce
specializovaný na
čistě MDM řešení
• Možnost výběru mezi předmíni světovými
MDM dodavateli
• Vynucení politik na základě stavu zařízení a
kontroly v rámci MDM řešení
• Ochrana kritických firemních dat
• Detailní management koncových zařízení
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
MDM je jako iMC EAD pro mobilní zařízení
• Vzdálená instalace žádoucích aplikací
• Vzdálená možnost vymazání dat na zařízení (online či offline)
• Vynucení enkrypce datového úložiště
• Nastavení WIFI či VPN profilů
• Lokalizace mobilních zařízení
• Detekce rootingu nebo jailbreaku zařízení
• Bezpečná izolace aplikací, jejich konektivit a datových úložišť
41
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Průběh připojení uživatele k MDM
Pokud MDM
politika není
splněna, uživatel
je zařazen do
guest VLAN
Zaměstnanec
se připoji k
SSID pro
zaměstnatnce
42
Guest
Je přiřazen do
Následně je
connects
onboarding VLAN to
přesměrován
na
SSID
registrační BYOD
web
Zaměstanec se
autentizuje
jménem a
heslem
Verifikace
informací o
koncovém
zařízení
(Fingerprinting)
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Kontrola
MDM
politik
Pokud je MDM
politika splněna,
uživatel je zařazen
do pracovní VLAN
Rozšířené možnosti přístupu hostů do sítě
A. Distribuce kupónů s uživatelským jménem a heslem
B. Zaměstnanci mají vlastní přístup ke generování přístupu
I.
Generují přístup manuálně a sdělí jej hostovi
II.
Generují přístup automaticky a heslo se pošle pomocí SMS
III.
Generují přístup automaticky a místo hesla nechají hosta naskenovat QR kód
IV.
Host se sám zaregistruje na registračním portále a zaměstnanec schválí jeho registraci k
příslušné službě
V.
43
Host se zaregistruje a je připojen do sítě bez nutnosti schválení
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Guest Flow
Guest connects to the SSID
for Guests
44
Endpoint
device is put on
Onboarding VLAN
Guest
Guest
is redirected to the
connects
BYOD
portal page
to SSID
Guest user is
self-registered
/authenticated
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Define information
is verified
(Fingerprinting)
Endpoint
device is put on
Work VLAN
Shrnutí
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Vítězem Eurovize 2014 se stává.....HP WIFI
HP WIFI jako televizní hvězda
Zadání
• 15 000 uživatelů v jedné hale
• Všichni chtějí hlasovat pro svého miláčka
• Reportéři chtějí posílat nejaktuálnější komentáře
Výsledek
• Zaznamenáno až 6000 klientů v jedné chvíli
• Bez jediné stížnosti na konektivitu
• Maximální rychlost 140Mbps
Implementováno
• 2x centrální WIFI kontrolér
• 232 AP se směrovými anténami
• Kompletní switching s podporou SDN
46
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Dotazy?
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Praktické řešení BYOD
Prvotní připojení klientů pouze do tzv.
onboarding VLAN (VLAN 67) s přístupem
pouze na BYOD portál pro ověření
• Po ověření (uživatelské jméno a heslo) +
fingerprinting zařízení bude klient
přesměrován do patřičné VLAN dle OS
• Klienti s OS Windows – VLAN 65
• Klienti s OS Android – VLAN 66
IMC + WSM +
UAM
DHCP server + DHCP
plugin
•
830 Unified Wired-WLAN
Switch
425 AP
MSM460 AP
SSID: HP Byod
Client – OS
Windows
48
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Client – OS Android