1

© Trapeze Networks 2006 | Proprietary and Confidential | April 11, 2023

Chapter 4: Arquitetura Avancada

SNS-ET-401 Treinamento Tecnica de Vendasv7.x

Trapeze Networks | Proprietary and Confidential | 04/11/23 2

Tópicos

Forwarding Distribuido Serviços de Mesh Balanceamento de Carga (Load Balancing) RADIUS

> Opções Autenticação> Redes baseado em Identidades> Balaceamento de Carga> Fall back> Autorizações Dinamicas> EAP Offload

Conrole de Bandwidth (banda) Suporte para Voz Proteção contra intrusos (Rogue) Integração com Air Defense

Trapeze Networks | Proprietary and Confidential | 04/11/23 3

VLAN ‘Vermelho’

VLAN ‘Vermelho’

Forwarding Distribuido

Forwarding Centralizado Tradicional

Forwarding Distribuido Smart Mobile

VLAN ‘Vermelho’

Trapeze Networks | Proprietary and Confidential | 04/11/23 4

APs Não Amarrados

Bridge com Wireless

Serviços de Mesh Wireless

Mesh Portal AP Mesh AP

Mesh LinkEncriptado

Mesh Portal AP Mesh AP

Mesh Link Encriptado

Segmento LAN Remote

Usuários Wireless

MeshPortal

Mesh AP

Trapeze Networks | Proprietary and Confidential | 04/11/23 5

Balanceamento Automatica de Carga por Banda RF

Band Steering (direção)

Balanceamento de Carga RF

Usuários Wireless

Cliente capaz de 802.11a vai ser ‘encorajado’ para conectar usando 5GHz

802.11b/g cliente somente connecta usando 2.4GHz

Trapeze Networks | Proprietary and Confidential | 04/11/23 6

RADIUS: Authentication Options

802.1x/EAP > Offload Mode

− PEAP-MSCHAPv2− EAP-TLS− EAP-MD5

> Passthrough Mode− Any other standards-based EAP type in pass through mode

Web Portal> Username & password in an HTTPS session ‘hijacked’ by the MX

MAC Authentication> For device authentication by MAC address

Last Resort> To allow any user onto an open SSID> Unknown users are transparently ‘authenticated’ as a system generated

‘last-resort’ user> VLAN and other authorization assignments are defined within the Last

Resort Service Profile

Trapeze Networks | Proprietary and Confidential | 04/11/23 7

RADIUS: Rede baseado em Identidades

• Os usuários presentam credenciais a

rede

• O “glob” está usado para achar uma

regra combinante para acesso

• O usuário está autenticado pelo metodo

especificado no server-group RADIUS

apropriado

Ao autenticar com sucesso

• O usuário está dinamicamente nomeado

para o VLAN especificado no RADIUS

• Os VSAs adicionais são aplicadas para a

sessão do usuário

• Este ‘identidade’ do usuário segue o

usuário para onde vai ambular

• O VLAN do usuário e todos os atributos de

autorização são dinamicamente aplicados

aonde o usuário vai conectar

Trapeze Networks | Proprietary and Confidential | 04/11/23 8

RADIUS: Balanceamento de Carga

Autenticação contra Grupo 1,

Servidor 1

Autenticação contra Grupo1,

Servidor 2

Autenticação contra Grupo 2,

Servidor 1

Trapeze Networks | Proprietary and Confidential | 04/11/23 9

RADIUS: Fall Back

Fonte Alternado de Autenticação

Fonte Primaria de Autenticação

Trapeze Networks | Proprietary and Confidential | 04/11/23 10

RADIUS: Autorizações Dinamicas

2. Novo atributos de Autorização enviados

durante o sessão

1. Atributos de Autorização enviado no

Autenticação

Trapeze Networks | Proprietary and Confidential | 04/11/23 11

RADIUS: EAP Offload

Pedida de Autenticação

Procesamento

Offload

Trapeze Networks | Proprietary and Confidential | 04/11/23 12

RADIUS: EAP Offload

Supplicante

AutenticadorServidor de Autenticação

TLS Cert, Client key exchange, Cert verify,

Change Cipher, Encrypted handshake

EAP Request, Identity [RFC2284]

RADIUS Access RequestRADIUS Access ChallengeRADIUS Access Request

RADIUS Access RequestRADIUS Access ChallengeRADIUS Access RequestRADIUS Access ChallengeRADIUS Access RequestRADIUS Access ChallengeRADIUS Access RequestRADIUS Access ChallengeRADIUS Access RequestRADIUS Access ChallengeRADIUS Access Request

RADIUS Access Challenge

RADIUS Access RequestRADIUS Access Accept

RADIUS Access Response

EAP Response, Identity [RFC2284]Request, EAP-PEAPTLS, Client HelloTLS, Svr Hello, Cert, CR, Hello DoneResponse, EAP-PEAPTLS, Svr Hello, Cert, CR, Hello Done

Response, EAP-PEAPTLS, Svr Hello, Cert, CR, Hello Done

Request, EAP-PEAP

TLS Change Cipher, Encrypted handshake

Response, EAP-PEAP

EAP Request, Identity [RFC2284]EAP Response, Identity [RFC2284]Challenge MSChapv2

Response MSChapv2Success, MSChapv2Ack MSChapv2EAP Success

Performedon MX

instead ofAAA server

Trapeze Networks | Proprietary and Confidential | 04/11/23 13

Controle de Bandwidth

Proposito> Para permitir o adminstrado da rede colocar limites de banda por cada usuário,

ssid e pela configuração de queuing weights (pesos) para garantir acesso confiavel aos SSIDs que suportam aplicações criticas ou usuários

Existem 3 metodos para controlar bandwidth:1. Bandwidth Maximo por SSID

− Configurando limits num full-duplex em unidades de Kb/s− A direção de transmitir está moldado e a direção de receber está policiado

2. Bandwidth Maximum por Usuário− Define uma taxa limite de full-duplex para a agregação de todas as paqotes pela a

cliente− Quando a taxa está excedido, o fluxo downstream vai ser moldado e o upstream vai ser

policiado

3. Série Justo Ponderado por Perfil do Radio− Automaticamente os perfeis de serviço são tratados baseado no numero de clientes− Quando Série Justo Ponderado está abilitado, os perfeis de serviço competem para a

oportunidade de transmitir baseado nos pesos pre-configurados.− Não houve efeito nenhum se o radio não está congestionado

Parametros de QoS parameters para um conjunto de usuários estão definidos no perfil de QOS

Trapeze Networks | Proprietary and Confidential | 04/11/23 14

Suporte para Voz

Prioritização de Traffigo

> Opções− Perfeis QoS são nomeados num base se por-usuário ou por-serviço− ACL para re-prioritizar os tipes de traffigo

> O WMM e Spectralink QoS são suportados Call Admission Control (CAC)

> Pode ser abilitado num Service Profile> O numero des sessões maximos por AP pode ser restritado

Power Save> Pode abilitar no Radio Profile

802.1p CoS

IP DSCP Prioritização

Preservadoem TAPA

4 Queues por UsuárioUm Frame entrando

Trapeze Networks | Proprietary and Confidential | 04/11/23 15

Proteção contra Intrusos (Rogue Protection)

Detectar os Intrusos

> Depositivo Suspeito Categorias− AP Rogue (intruso)− AP Neighbor (vizinho)− Clientes Rogue

Localize os Rogues> Em RingMaster

Neutralizar os Rogues> Activar Countermeasures no Radio

Profile

AP com Sentry/ Active Scan

NeighborAP

Rogue AP

Clientes Ad-hoc

AP com Sentry/ Active Scan

Local de Rogue Provavel

Trapeze Networks | Proprietary and Confidential | 04/11/23 16

Integração de AirDefense

Servidor AirDefenseTrapeze MX

Servidor RingMaster

Cliente RingMaster

Sensor AirDefense(AP convertido)

Trapeze APsDistribuidos

SNMP Traps

SNMP para Sincronizar o Dispositivo

Converte para ser

um Sensor

Convert e para ser

um AP de novo

Network

17

© Trapeze Networks 2006 | Proprietary and Confidential | April 11, 2023

Trapeze Networks Education Services

USA: Steven Elliott, Training Manager+1 925 474 2261, selliott@trapezenetworks.comMike Reuter, Trainer+1 925 474 2617, mreuter@trapezenetworks.com

EMEA: Pete Dahl, International Training Manager+31 (0)35 6464 422, pdahl@trapezenetworks.com Gerben Camp, Field Trainer EMEA+31 (0)35 6464 427, gcamp@trapezenetworks.com

APAC: Edwin Kin Kwok Lin, Training Manager+852 2117 0172, elin@trapezenetworks.com