Сравнение cisco dna и huawei agile campus · huawei agile campus dr170921g Октябрь...

Сравнение Cisco DNA

и Huawei Agile Campus

DR170921G

Октябрь 2017 г.

Miercom www.miercom.com

Cisco и Huawei: сравнение кампусной инфраструктуры 2 DR170921G © Miercom, 2017. 31 октября 2017 г.

Содержание

1. Основные положения ...................................................................................................... 3

2. Процедура проверки ....................................................................................................... 6

3. Беспроводная сеть ............................................................................................................ 9

Уровень мощности сигнала точек доступа ......................................................................................... 9

Распределение клиентов ........................................................................................................................... 12

Потеря пакетов у Huawei ........................................................................................................................... 14

Поддержка службы QoS для видеовызовов ..................................................................................... 14

Мониторинг и контроль приложений ................................................................................................. 15

Составление профиля клиентского устройства .............................................................................. 16

Идентификация и обнаружение помех .............................................................................................. 17

Высокая доступность .................................................................................................................................... 17

Шифрование DTLS ......................................................................................................................................... 20

4. Проводные сети .............................................................................................................. 22

Encrypted Traffic Analytics ........................................................................................................................... 22

Оптимизированное и безопасное переключение ресурсов .................................................... 25

Переключение питания для подключенных устройств .............................................................. 27

Усовершенствования программного обеспечения и программируемость...................... 31

5. Надежность: обеспечение безопасности сетевой инфраструктуры ..................... 33

6. Выводы ............................................................................................................................. 36

7. Сведения о проверке производительности Miercom .............................................. 37

8. О компании Miercom ...................................................................................................... 37

9. Использование настоящего отчета ............................................................................. 38


1. Основные положения По запросу Cisco Systems компания Miercom провела независимое исследование, в ходе которого настраивала, эксплуатировала и оценивала компоненты проводной и беспроводной многосегментной кампусной сетевой инфраструктуры от Cisco Systems и Huawei Technologies. Вся продукция была настроена и установлена со строгим соблюдением рекомендаций поставщиков и с использованием соответствующего программного обеспечения производителей, предназначенного для настройки, мониторинга кампусной сети и управления ею.

Тесты проводились в двух основных областях: 1. Беспроводное подключение: акцент на плотности размещения клиентских

устройств, пропускной способности, управлении частотами и помехами, поддержке и мониторинге приложений, профилировании устройств, высокой доступности и безопасности.

2. Проводное подключение: оценка способности коммутаторов выполнять тщательный анализ трафика и обнаруживать угрозы в зашифрованном трафике, обеспечивать безопасность и оптимизировать аппаратные ресурсы, обеспечивать стекирование питания и высокую доступность для растущего числа устройств IoT, подключенных посредством PoE, программируемость.

Ключевые результаты и выводы

• Лучшее управление беспроводными соединениями. При обслуживании беспроводной тестовой сети, включающей 180 клиентов, средняя мощность сигнала, генерируемого точками доступа Huawei (AP7050DE), была слишком большой для высокой плотности размещения клиентских устройств, почти в два раза больше по сравнению с точками доступа Cisco (2802i). Слишком сильные сигналы ведут к помехам и проблемам подключения клиентов. Кроме того, подключенные клиенты были распределены между точками доступа Cisco более равномерно, чем между точками Huawei. Более того, чтобы оптимизировать покрытие, точки доступа Cisco автоматически переключались с частоты 2,4 ГГц на частоту 5 ГГц — впечатляющие возможности, которыми не обладают точки доступа Huawei.

• Большая пропускная способность беспроводной сети и лучшее качество сеансов видеосвязи. В одной и той же двухдиапазонной конфигурации 2,4/5 ГГц точки доступа Cisco обеспечили клиентским устройствам пропускную способность двустороннего TCP-трафика на 22 % больше, чем точки доступа Huawei. Кроме того, у точек доступа Huawei время от времени наблюдалась потеря пакетов, в результате чего они не были доставлены определенным клиентам, в отличие от устройств Cisco, которые доставляли все пакеты даже в конфигурации с 180 активными клиентами. Также мы наблюдали, что при одинаковом трафике точки доступа Cisco поддерживают больше сеансов качественной видеосвязи, чем Huawei.


• Лучшая идентификация трафика, клиентских устройств и источников помех. В отличие от Huawei устройства Cisco смогли определить множество типов современного трафика, включая данные Instagram, Dropbox и WebEx. Устройства Cisco также смогли верно идентифицировать все используемые нами источники помех, Huawei — только частично всего один из них.

• Более высокая доступность, более быстрое переключение при отказе. Отказоустойчивые конфигурации Cisco могут восстановить прерванное соединение и работу контроллера беспроводной связи гораздо быстрее, чем Huawei. Чувствительные к временным задержкам процессы, например просмотр видео, продолжали работать без прерываний на устройствах Cisco, но прекращали работу на устройствах Huawei. Кроме того, беспроводная и проводная инфраструктуры Cisco поддерживают различные варианты подключения питания, включая объединение блоков питания в пул и совместное использование источников питания, технологии Perpetual и Fast Power-over-Ethernett, которые обеспечивают бесперебойное питание сетевых устройств или питание с минимальными перебоями.

• Безопасность без потери производительности. В инфраструктуре Cisco многие процессы обеспечения безопасности, включая шифрование DTLS, реализуются в аппаратном обеспечении, в то время как Huawei для выполнения тех же самых процессов использует программное обеспечение, что снижает пропускную способность сети из-за необходимости выделения ресурсов на дополнительную обработку трафика.

• Encrypted Traffic Analytics Cisco поставляет инновационные инструменты для предприятий — от инструментов для базового мониторинга до надежных систем обеспечения безопасности, которые идентифицируют потоки данных приложений и обеспечивают соответствие сетевой инфраструктуры нормативным требованиям, высокий уровень безопасности и защиту от угроз, скрытых внутри зашифрованного трафика, таких как вредоносные программы, ботнеты и т. д., без нарушения конфиденциальности данных. В решениях Huawei отсутствуют функции мониторинга и обеспечения безопасности такого же уровня, необходимые для эффективного контроля современных приложений и угроз.

• Безопасность и оптимизация аппаратных ресурсов. Коммутаторы Catalyst поддерживают высокоскоростное редактирование политик (добавление/удаление) и эффективно переключают и распределяют ресурсы для масштабирования и обеспечения безопасности. Благодаря функциям ACL Label-Sharing и Hitless ACL коммутаторы продемонстрировали применение сетевых политик без нарушений безопасности сетевой инфраструктуры. Мы наблюдали, что коммутаторы Huawei могут допускать «утечки» данных, которые должны быть заблокированы во время изменения ACL и применения изменений к каждому интерфейсу коммутатора.


• Высокая доступность для устройств с PoE. Cisco Stack-Power обладает уникальным преимуществом перед Huawei благодаря объединению отдельных блоков питания в одном пуле для обеспечения отказоустойчивости. Cisco Fast PoE и Perpetual PoE обеспечивают высокую доступность всех подключенных устройств PoE в случаях, когда коммутатор перезагружается, случайно или преднамеренно.

• Программируемость ПО. ОС Cisco IOS XE поддерживает технологии, которые упрощают автоматизацию и выделение ресурсов и повышают эффективность работы сетевого инженера. Благодаря функции Guest Shell, которая обеспечивает различные сценарии использования сетевой инфраструктуры, IOS-XE имеет возможность размещать приложения для Linux.

• Надежность. Надежные системы Cisco гарантируют надежность сетевой архитектуры. Cisco защищает сетевую инфраструктуру, используя цифровую подпись образов, защищенную загрузку, модуль якоря доверия (trust anchor module), безопасность во время выполнения и безопасность уровня управления.

Основываясь на результатах тестирования, при сравнении кампусной проводной и беспроводной сетевой архитектуры и продуктов Cisco и Huawei Technologies мы нашли много актуальных для компаний функциональных возможностей, выгодно отличающих решения Cisco. Мы с гордостью награждаем сертификатом о прохождении проверки производительности Miercom конфигурацию кампусной сетевой инфраструктуры Cisco и связанные пакеты инструментов для мониторинга, управления и контроля.

Роберт Смитерс (Robert Smithers), генеральный директор, Miercom


2. Процедура проверки В рамках тестирования параллельно были развернуты две кампусные сетевые инфраструктуры: Cisco Systems и Huawei Technologies. Ключевые компоненты каждой из них описаны ниже. Инженеры Miercom убедились, что конкурентные топологии, продукты и их конфигурации представляют собой новейшие и наиболее подходящие для сопоставления решения от Cisco и Huawei. Тесты беспроводных сетей, описываемые в настоящем отчете, были проведены на объекте, спроектированном и используемом исключительно для тестирования беспроводного оборудования.

Протестированные продукты

Cisco Systems Huawei Technologies

Оборудование Модель Модель

Точки доступа 2802i

Цена по прейскуранту:

1295 долл. США Радио: 4x4:3 MU-MIMO Ширина канала: 160 МГц

Ethernet: 2xGbE

AP7050DE

Цена по прейскуранту: 1295

долл. США Радио: 4x4:4 MU-MIMO

Ширина канала: 160 МГц (2 x 2) Ethernet: 2xGbE

Модель Программное обеспечение Модель Программное

обеспечение Беспроводной

контроллер 5520 V8.3 MR3 AC6605 V200R700C20SPC200

Коммутатор Catalyst 3850 V16.6.1 S5720 HI V2R11

Коммутатор Catalyst 9300 V16.6.1 S5720 HI V2R11

Коммутатор Catalyst 2960XR V15.2.6 S5720 SI V2R11

Средства тестирования

Средство тестирования Версия Ixia IxChariot V7.3

Spirent Test Center V4.6.7


Тестовая схема 1: коммутация

Тестовая схема 2: беспроводные сети

Источник: Miercom

Источник: Cisco

Spirent Test Center и Ixia IxChariot

Коммутатор Порты 1GigE

Порты 10GigE

восходящих каналов

Подключенное освещение

IP-телефоны

Точки беспроводного

доступа

Ноутбук с проводным

подключением

Приложения


Для тестирования плотности расположения клиентов, мощности сигнала и пропускной способности шесть точек доступа каждого производителя были развернуты и пронумерованы, как показано на схеме ниже. В общей сложности 180 клиентов были установлены на столах в трех зонах, показанных синим цветом. Зона А представляла собой большую просторную комнату с 140 клиентами, размещенными на столах. Зона B и C с 16 и 24 клиентами соответственно представляли собой комнаты с офисными перегородками, по 1–2 клиента в отсеке.

Чтобы отразить развитие отрасли WiFi-оборудования в диапазоне 2,4–5 ГГц, большинство клиентов (140, или 78 %), работали на частоте 5 ГГц, оставшиеся 40 клиентов, или 22 %, — на частоте 2,4 ГГц.

Каждый клиент Wi-Fi поддерживает несколько стандартов: IEEE 802.11n (20), IEEE 802.11ac (120) и IEEE 802.11ac Wave 2 (40). Для имитации реальной среды были выбраны клиенты с различными функциями, включая устройства, поддерживающие 802.11ac Wave 2, с многопользовательским методом кодирования сигнала MIMO.

Клиент

Поддержка WiFi, количество

пространственных потоков, поддержка MIMO

Количество клиентов

MacBook Pro 11ac, 3 потока, SU-MIMO 50

MacBook Air 11ac, 2 потока, SU-MIMO 20

Dell E6430 с Broadcom43460 11ac, 3 потока, SU-MIMO 10

Dell E6430 с Intel 7260 11ac, 2 потока, SU-MIMO 30

Acer Aspire 11ac, 1 поток, MU-MIMO 30

Dell E5450 11ac, 2 потока, MU-MIMO 10

MacBook Pro 11n, 3 потока, SU-MIMO 10

iPad Air 11n, 2 потока, SU-MIMO 10

Apple iPhone 6 11ac, 1 поток, SU-MIMO 10


3. Беспроводная сеть

Уровень мощности сигнала точек доступа Тестирование точек доступа было проведено в трех различных конфигурациях.

1. Двухдиапазонная конфигурация Huawei, где каждая из шести точек доступа работала на частоте 2,4 и 5 ГГц.

2. Двухдиапазонная конфигурация Cisco, где каждая из шести точек доступа работала на частоте 2,4 и 5 ГГц.

3. Конфигурация «Двойной режим 5 ГГц» Cisco. Эта конфигурация использует уникальную функцию Cisco, которая позволяет точке доступа «переключить» частоту 2,4 ГГц на частоту 5 ГГц в зависимости от перекрытия каналов в диапазоне 2,4 ГГц. В этом третьем сценарии две из шести точки доступа Cisco (1 и 4 на схеме) переключали свою частоту с 2,4 ГГц на 5 ГГц.

Следующие графики показывают уровень мощности передаваемого сигнала для этих конфигураций.

Двухдиапазонная конфигурация 2,4 и 5 ГГц: Cisco и Huawei

Мощность сигнала устройств Cisco всего 8 дБм. Средняя мощность передаваемого Cisco сигнала на 4,7 дБм ниже, чем у Huawei.

8 8 8 8 11 11

9

16 15

10 8

11

22

13,7

0

5

10

15

20

25

AP1 AP2 AP3 AP4 AP5 AP6 Average Мощ

ност

ь пе

реда

чи (д

Бм)

Мощность передачи (дБм) двухдиапазонного передатчика: диапазон 2,4 ГГц

Cisco Huawei


ТД1 ТД2 ТД3 ТД4 ТД5 ТД6 Среднее


Мощность сигнала устройств Cisco всего 8,3 дБм. Средняя мощность передаваемого Cisco сигнала на 8,5 дБм ниже, чем у Huawei.

Средняя мощность передаваемого Huawei сигнала в двухдиапазонной конфигурации 15,25 дБм (децибел на один милливатт). Одна точка доступа Huawei передавала сигнал на полной мощности (27 дБм). Для сравнения мощность сигнала, передаваемого точками доступа Cisco в двухдиапазонной конфигурации, в среднем составила только 8,67 дБм на канал передачи — около половины мощности сигнала Huawei.

Двойной диапазон 5 ГГц: Cisco

Самая низкая мощность передаваемого сигнала, в среднем всего 7,8 дБм, была зафиксирована в конфигурации Cisco с двойным режимом 5 ГГц.

5 8 7 7

11 12 8,3

14 19

11 12

18

27

16,8

0 5

10 15 20 25 30

AP1 AP2 AP3 AP4 AP5 AP6 Average Мощ

ност

ь пе

реда

чи (д

Бм)

Мощность передачи (дБм) двухдиапазонного передатчика: диапазон 5 ГГц Cisco Huawei


2

8 8

2

11 11

5 6 7 7

11

15

7,8

0

5

10

15

20

AP1 AP2 AP3 AP4 AP5 AP6 AP1 AP2 AP3 AP4 AP5 AP6 Average Мощ

ност

ь пе

реда

чи (д

Бм)

Мощность передачи (дБм) двухдиапазонного передатчика в диапазоне 5 ГГц: Cisco

2,4 ГГц 5 ГГц


ТД1 ТД2 ТД3 ТД4 ТД5 ТД6 ТД1 ТД2 ТД3 ТД4 ТД5 ТД6 Среднее

ТД1 ТД2 ТД3 ТД4 ТД5 ТД6 Среднее


Канал Cisco и мощность сигнала в зависимости от диапазона

Точка доступа Канал Радиосвязь Мощность

(дБм)

ТД1 36+ 5 ГГц 2 100+ 5 ГГц 5

ТД2 1 2,4 ГГц 8 64- 5 ГГц 6

ТД3 11 2,4 ГГц 8 149+ 5 ГГц 7

ТД4 128- 5 ГГц 2 44+ 5 ГГц 7

ТД5 6 2,4 ГГц 11 161- 5 ГГц 11

ТД6 11 2,4 ГГц 11 108+ 5 ГГц 15

Высокий уровень мощности сигнала, передаваемого точками доступа, может создавать внутриканальные помехи и привести к «залипанию» клиентов. Клиенты не будут переключаться между точками доступа, потому что сигнал точки доступа слишком сильный, а сигнал клиента слишком слабый для того, чтобы гарантированно достичь точки доступа.


Распределение клиентов Точки доступа обоих производителей были одинаково размещены на площадке, и клиенты не перемещались во время тестирования. Тем не менее распределение клиентов, подключающихся к шести точкам доступа, заметно отличалось, даже при использовании методов поставщиков для балансировки клиентской нагрузки.

Хотя механизм распределения клиентов поддерживает подключение к ближайшей точке доступа, мы ожидали более равномерного распределения. Распространенный сценарий, когда слишком много клиентов подключаются к одной точке доступа и снижают пропускную способность, в то время как другие близлежащие точки используются недостаточно. Таблица показывает количество клиентов, работающих на 5 ГГц, которые автоматически подключаются к шести точкам доступа производителей.

Распределение клиентов на точку доступа на частоте 5 ГГц (всего 140 клиентов)

Номер ТД Двухдиапазонная

конфигурация Huawei

Двухдиапазонная конфигурация

Cisco

Двойной режим 5 ГГц Cisco

1 30 36 20

2 46 20 43

3 27 29 33

4 3 12 11

5 14 21 21

6 20 22 12

Число активных клиентов, подключенных к одной точке доступа Huawei, колебалось от 3 до 46, существенно нагружая некоторые точки. В сопоставимой двухдиапазонной конфигурации число клиентов на одну точку доступа Cisco варьировалось от 12 до 36 — гораздо более рациональное распределение.


Пропускная способность С помощью инструмента тестирования Ixia’s IxChariot мы проводили тесты на пропускную способность, чтобы измерить, какой суммарной пропускной способности можно достичь с помощью инфраструктуры каждого производителя для входящего и исходящего трафика, передаваемого тем же беспроводным клиентам. Для имитации типичного трафика современного пользователя передавался двунаправленный, ориентированный на подключение TCP-трафик. Тесты были проведены с 40, 80, 120 и всеми 180 клиентами с тем же соотношением клиентов, работающих на 5 и 2,4 ГГц. Мы ограничили функцию FRA (функция гибкого выбора частотного диапазона) точек доступа Cisco, чтобы все точки доступа Cisco работали на частотах 2,4 и 5 ГГц (двухдиапазонный режим). При включении FRA две точки доступа Cisco автоматически переключают свою частоту 2,4 ГГц на частоту 5 ГГц. Лучшая пропускная способность была зафиксирована в конфигурации «Двойной режим 5 ГГц» Cisco.

В конфигурации «Двойной режим 5 ГГц» Cisco с 40 активными клиентами совокупная двунаправленная пропускная способность на 41,8 % больше, чем у инфраструктуры Huawei. С 180 клиентами пропускная способность Cisco на 41 % больше. При ограничении FRA и работе в двух диапазонах преимущество Cisco уменьшается, но все равно остается значительным: с 80 активными клиентами пропускная способность на 22 % выше, с полной нагрузкой из 180 клиентов — на 15,6 % выше.

40 80 120 180

Двойной режим 5 ГГц Cisco 2271 2132.5 1934 1828.5

Двухдиапазонный Cisco 1893.5 1831 1581 1497.5

Двухдиапазонный Huawei 1600 1500 1405 1295

0

500

1000

1500

2000

2500

Проп

ускн

ая с

посо

бнос

ть

(Мби

т/с)

Число клиентов

Многоклиентная двунаправленная пропускная способность TCP Двойной режим 5 ГГц Cisco Двухдиапазонный Cisco Двухдиапазонный Huawei


1893,5

2132,5 1828,5

1497,5


Потеря пакетов у Huawei Мы наблюдали еще одно различие между инфраструктурами Cisco и Huawei. Те же тесты на двунаправленную пропускную способность выявили потерю пакетов (некоторые клиенты не передавали/не получили трафик), но только в инфраструктуре Huawei. Потеря пакетов не была значительной, хотя при увеличении количества активных клиентов заметно возросла. Повторяющаяся потеря пакетов в любом случае вызывает проблемы с производительностью, поскольку потерянные пакеты должны быть идентифицированы и отправлены повторно. Это важное наблюдение, так как в любой конфигурации Cisco соответствующей потери пакетов не наблюдалось.

Поддержка службы QoS для видеовызовов Мы провели тесты, направленные на определение способности беспроводных инфраструктур приоритизировать трафик. Тестирование проводилось с использованием 24 беспроводных клиентов в офисных отсеках, обслуживаемых исключительно пятой точкой доступа. В каждом из отсеков были размещены Apple MacBook и iPhone.

Согласно рекомендациям поставщиков, в беспроводной инфраструктуре была активирована служба QoS для приоритизации потока видеоданных. Для создания фоновой нагрузки файл объемом 10 ГБ непрерывно отправлялся через FTP беспроводным клиентам. Затем между ПК и компьютерами Mac был установлен видеозвонок Jabber на фоне постоянно движущегося фрактального изображения. Тестировщики оценивали качество каждого видеовызова. В ходе некоторых видеовызовов наблюдалось несколько незначительных сбоев, но определяющим критерием успешности вызова являлась его непрерывность.

5x 15x 20x



Мы начали с сеансов видеосвязи через Jabber на пяти клиентах, которые прошли без проблем как с Huawei, так и Cisco. Затем мы провели тест с 10, 15 и, наконец, 20 клиентами, отмечая случаи, когда качество видеовызова было настолько низким, что просмотр был невозможен, или передача видео прерывалась. Точка доступа Huawei одновременно могла поддерживать максимум 11 успешных видеозвонков Jabber. Точка доступа Cisco, однако, без проблем поддерживала 18 одновременных выдеовызовов через Jabber.

Мониторинг и контроль приложений Инфраструктуры Cisco и Huawei, которые были нами испытаны, обладают возможностью анализировать трафик. Это необходимый первый шаг для определения потоков трафика, которые могут содержать в себе киберугрозы. В документации Huawei указано, что устройства компании могут идентифицировать трафик многих приложений. Вместе с тем при тестировании мы обнаружили, что во многих случаях устройства Huawei останавливают на высоком уровне распознавания трафика (например, определяют трафик как http/https, который составляет практически весь трафик при просмотре веб-страниц). Таким образом, без более точной идентификации типов трафика мониторинг и последующий контроль потоков данных ограниченны.

В таблице ниже показаны результаты анализа потоков трафика, которые мы использовали в нашем тестировании. Там, где устройства могли выявить конкретный источник трафика, отображается «Да». «Нет» отображается в некоторых случаях для Huawei; устройства Huawei отслеживали передаваемые данные, но не могли определить конкретный источник из-за отсутствия технологии углубленной проверки пакетов.



Категория Приложение/источник Huawei Cisco

Интернет

ESPN Да Да BBC Да Да

Fox News Нет Да YouTube Да Да Instagram Нет Да

Проверка скорости Нет Да

Совещание WebEx Нет Да

Совместный доступ к экрану WebEx

Нет Да

Обмен файлами

Dropbox Нет Да

Обновление iOS

Загрузка приложений iOS Нет Да

Мы пришли к выводу, что устройства Cisco выполняют более точный анализ трафика и могут лучше идентифицировать подозрительный трафик посредством технологии углубленной проверки пакетов (DPI). Устройства Cisco также лучше выполняют профилирование трафика и лучше обнаруживают зашифрованные пакеты в трафике. Составление профиля клиентского устройства Современные системы безопасности сети должны обеспечивать идентификацию источников трафика, которые могут содержать в себе киберугрозы. Мы протестировали контроллер Cisco на способность определять тип беспроводных устройств, подключенных к точкам доступа на нашем тестовом стенде. На панели управления Cisco отобразились следующие данные.

Идентифицированное беспроводное устройство

Фактический тип беспроводного устройства

Рабочая станция OS_X MacBook

Рабочая станция Microsoft ПК (MS Windows 10)

Apple-iPhone Apple iPhone

Android Google Смартфон Nexus 5X Android

Huawei не поддерживает возможности профилирования клиентов.


Идентификация и обнаружение помех Беспроводная инфраструктура Cisco и Huawei включает в себя приложения и средства для выявления источников радиопомех. Для этого теста мы использовали распространенные устройства, которые хорошо известны своей способностью создавать помехи на частотах беспроводных сетей. К ним относятся: беспроводной динамик Bluetooth, микроволновая печь, видеокамера и устройство подавления (Jammer), специально разработанное для создания радиопомех в беспроводных сетях. Затем, используя доступные функции каждого производителя беспроводной инфраструктуры, мы оценивали, насколько хорошо продукты определяют источники помех. Результаты приведены ниже.

Фактический источник

помех

Cisco. Выявление

и распознавание

Идентификация и определение

Huawei. Выявление

и распознавание

Идентификация и определение

Динамик Bluetooth Да «Канал BT» Нет Нет

Микроволновая печь Да «Печь MW» Нет Нет

Видеокамера Да «Видеокамера» Ограниченно*

Устройство «неизвестной

фиксированной частоты»

Устройство подавления

беспроводной сети

Да

«Устройство подавления

беспроводной сети»

Нет Нет

*Устройства Huawei не обнаружили ни одного источника помех, которые находились на расстоянии 30 футов или дальше от точки доступа. Расположенная на расстоянии 4 футов от точки доступа видеокамера была обнаружена и определена как устройство «неизвестной фиксированной частоты».

Высокая доступность Оба поставщика предлагают так называемые решения высокого уровня доступности, чтобы свести к минимуму последствия сбоя одного подключения или устройства. Мы провели тесты для определения относительной эффективности таких решений для поддержания безотказной работы беспроводных клиентов.

Механизм HSB (горячий резерв) Huawei дает возможность настроить в режиме горячего резерва два беспроводных контроллера доступа, к которым точки доступа подключаются по двум каналам через коммутатор доступа. Чтобы ускорить переключение при отказе,


информация о пользователе сохраняется на резервном контроллере доступа. Когда работа активного контроллера доступа восстанавливается, операции и сервисы переключаются обратно с минимальным прерыванием.

Аналогичным образом Cisco обеспечивает резервное развертывание двух контроллеров беспроводной LAN. Мы также отметили, что Cisco предлагает другие функции для повышения надежности, например: быструю перезагрузку системы, резервное 1 и 10-гигабитное подключение, твердотельные накопители без движущихся частей и опционально резервные блоки питания с возможностью замены без отключения питания.

Сначала мы тестировали потерю активного соединения между контроллерами (отказ коммутатора/порта), стимулируя переключение на резервный канал. Мы запустили между подключенными устройствами через отключенный канал два приложения, чтобы увидеть, сколько времени потребуется приложениям для восстановления подключения. В качестве приложений мы использовали непрерывный быстрый ping-запрос длительностью 0,1 с и поток видеоданных VNC. Приведенная ниже таблица показывает время в секундах, которое потребовалось для восстановления подключения приложений.



Устройства Cisco показали значительно меньшее время восстановления. Устройства Cisco восстановили канал ping-запросов на 14,7 секунды быстрее, чем Huawei. Переключение при отказе для потока видеоданных VNC произошло на 19,7 секунды быстрее у Cisco, чем у Huawei.

В ходе второго теста мы отключили питание активного контроллера, вызвав переключение на резервный ресурс при отказе, во время работы тех же приложений ping-запроса и видеопотока VNC.

Во время переключения при отказе на устройствах Cisco работа приложений не была прервана. Huawei потребовалось целых 85 секунд, чтобы восстановить подключение.

Мы обнаружили, что архитектура бесперебойной коммутации Cisco (Stateful Switch Over, SSO) при отключении контроллера сохраняла состояние портов в аппаратном обеспечении для ускорения восстановления. Фактическое время переключения Cisco составляет менее секунды, поэтому переключение при отказе незаметно для конечных пользователей приложений.

1,3 1,3

16

21

0

5

10

15

20

25

Ping VNC

Врем

я во

сста

новл

ения

(с)

Время переключения при отказе по схеме активный/резервный канал (в секундах)

Cisco Huawei


0 0

85 81

0

20

40

60

80

100

Ping VNC Врем

я во

сста

новл

ения

(с)

Время переключения при отказе по схеме активный/резервный контроллер (в секундах)

Cisco Huawei



Шифрование DTLS Протокол под названием DTLS (протокол датаграмм безопасности транспортного уровня) предназначен для предотвращения прослушивания, фальсификации и подделки сообщений и все чаще используется для обеспечения безопасности передачи данных в беспроводных сетях. Вместе с другими механизмами обеспечения безопасности DTLS также используется для шифрования полезных данных сообщения. Обычно точкой доступа выполняется шифрование исходящих сообщений, передаваемых по беспроводной сети.

Мы провели тесты на измерение пропускной способности точки доступа для трафика TCP. Сначала мы разослали беспроводным клиентам незашифрованный трафик с отключенным протоколом DTLS, показанный на диаграмме ниже как «нисходящий TCP». Мы также измерили пропускную способность для «восходящего TCP», трафика, поступающего к точке доступа от беспроводных клиентов. Затем мы повторили тест, на этот раз после включения шифрования DTLS. Как показано на диаграмме, пропускная способность Huawei стремительно упала до прибл. 10 % пропускной способности с незашифрованным трафиком.

849 633

846

57 0

200 400 600 800

1000

Cisco Huawei Проп

ускн

ая сп

особ

ност

ь (М

бит/

с)

Пропускная способность нисходящего потока TCP (Мбит/с) Незашифрованный и зашифрованный

Незашифрованный Cisco Зашифрованный Cisco Незашифрованный Huawei Зашифрованный Huawei



Пропускная способность Cisco упала незначительно вследствие специальных возможностей шифрования, встроенных в аппаратное обеспечение. Для сравнения точки доступа Huawei обрабатывали зашифрованный трафик с использованием программного обеспечения, которое значительно нагружает сеть, уменьшая пропускную способность на целых 90 %.

814 786 819

70 0

200 400 600 800

1000

Cisco Huawei Проп

ускн

ая сп

особ

ност

ь (М

бит/

с)

Пропускная способность восходящего потока TCP (Мбит/с) Незашифрованный и зашифрованный

Незашифрованный Cisco Зашифрованный Cisco Незашифрованный Huawei Зашифрованный Huawei



4. Проводные сети

Encrypted Traffic Analytics В современной сетевой инфраструктуре необходим анализ потока трафика и данных, используемых приложениями. Информация о приложениях, пользователях, времени использования и, самое главное, безопасность и соблюдение нормативных требований являются критически важными для политик организации.

В сегодняшних сетевых инфраструктурах используется множество приложений.

Поскольку современные приложения, пользователи и устройства используют не только стандартные порты и потоки, поставщики инфраструктуры должны выпускать более сложные продукты и услуги с функциями обнаружения, идентификации и контроля каждого пакета, проходящего через сетевую инфраструктуру. Существуют различные стандартные процедуры и протоколы для сбора определенных пакетов и потоков данных, поступающих на сетевые интерфейсы. Система мониторинга и контроля приложений Cisco AVC использует DPI (технологию углубленной проверки пакетов) и эвристический анализ для выявления гранулированных потоков приложений и суб-потоков, проходящих через проводные и беспроводные платформы и маршрутизаторы Cisco. У Huawei аналогом Cisco AVC является функция SAC (Smart Application Control — интеллектуальное управление приложениями). Она доступна на беспроводных платформах, но недоступна на коммутаторах Huawei.

Благодаря технологии NetFlow в Cisco StealthWatch, которая агрегирует потоки данных приложений, поступающих от устройств инфраструктуры, сетевой администратор может определить источник/получателя трафика, класс обслуживания и другие аналогичные аспекты сетевого трафика. Huawei также поддерживает агрегацию потоков через NetStream.

В настоящее время количество приложений, использующих зашифрованный трафик, растет в геометрической прогрессии. Такие приложения трудно идентифицировать, потому что сетевые устройства не могут «заглянуть» внутрь зашифрованного трафика либо из-за технических ограничений, либо вследствие политики конфиденциальности. Злоумышленники используют эту возможность для того, чтобы скрыть вредоносное ПО,



ботнеты или трояны внутри зашифрованного трафика и отправить вредоносные пакеты по сети, оставляя таким образом сетевых администраторов абсолютно неосведомленными о потенциальных угрозах, скрывающихся внутри зашифрованных потоков. С помощью своей новой технологии аналитики зашифрованных угроз ETA (Encrypted Threat Analytics) Cisco может обнаруживать угрозы внутри зашифрованного трафика. Когнитивный анализ угроз Cisco StealthWatch использует многослойный алгоритм машинного обучения и различные другие методы, среди которых отслеживание времени доставки, последовательности и первоначальных меток пакетов, для выявления угроз внутри зашифрованного трафика без нарушения конфиденциальности данных.

В ходе нашего сравнительного анализа мы обнаружили, что Cisco реализует технологии AVC и NetFlow с использованием аппаратных схем ASIC (встроенная схема специального назначения), что означает, что NetFlow не потребляет ресурсы главных процессоров коммутаторов. Мы сравнили технологии Cisco и Huawei по трем ключевым аспектам анализа трафика:

1. Идентификация трафика на уровне портов 2. Мониторинг на уровне приложений 3. Обнаружение угроз в зашифрованном трафике

Результаты

В первых двух тестовых случаях Huawei идентифицировал только определенные приложения, использующие стандартные порты, например HTTPS (443). Устройствам Huawei не удалось предоставить никакой ценной информации о таких источниках трафика, как WebEx, YouTube, BitTorrent, Netflix, Spark и Skype. Кроме того, для устройств Huawei не предусмотрен никакой веб-интерфейс для мониторинга этого трафика. Напротив, для устройств Cisco предлагается интуитивная панель управления с веб-интерфейсом (и интерфейс командной строки CLI) для идентификации приложений по номеру порта и названию (YouTube, BitTorrent, Netflix, Spark Media).



В третьем тестовом случае устройства Huawei оказались полностью не способны осуществить мониторинг угроз внутри зашифрованного трафика. Устройства Huawei определили весь трафик как трафик SSL/TLS без какой-либо полезной информации о вредоносных программах и ботнетах, скрытых внутри зашифрованного трафика. Устройства Cisco точно выявили угрозы, скрытые внутри зашифрованного трафика, и приняли необходимые меры для блокирования этих угроз.

Подводя итоги, Cisco поставляет инновационные инструменты для предприятий — от инструментов для базового мониторинга до надежных систем обеспечения безопасности, которые осуществляют мониторинг потоков данных приложений и обеспечивают высокий уровень безопасности и соответствие сетевой инфраструктуры нормативным требованиям. В решениях Huawei отсутствуют функции мониторинга и обеспечения безопасности такого же уровня, необходимые для эффективного контроля современных приложений и угроз.



Оптимизированное и безопасное переключение ресурсов С появлением и развитием инфраструктуры Интернета вещей растет потребность в безопасности и сегментации. Сетевая инфраструктура должна правильно идентифицировать пользователей и сетевые устройства и управлять доступом. Независимо от средств связи, динамический доступ через автоматизированные политики является основой современной инфраструктуры. Сетевая инфраструктура должна поддерживать как статическое, так и динамическое программирование своих ресурсов. Сетевые политики применяются к физическим и логическим портам, таким как интерфейс VLAN L2 или маршрутизируемый интерфейс L3, в виде безопасных списков контроля доступа (ACL) и фильтрации посредством гарантированной полосы пропускания QoS.

Компания Miercom протестировала и сравнила аппаратные возможности коммутаторов для кампусной сети Cisco и Huawei. Коммутатор Huawei S5720-HI сравнивался с коммутаторами Cisco Catalyst серий 9300 и 3850. Было проведено универсальное испытание коммутаторов для оценки пределов масштабируемости политик фильтрации и управления ресурсами. Кроме того, каждый коммутатор был протестирован на способность справляться с нарушениями безопасности сети во время внесения изменений в существующую политику фильтрации.

Мы сравнили фильтрацию коммутаторов Cisco и Huawei в четырех тестовых сценариях.

1. При применении одного и того же ACL к нескольким интерфейсам истощает ли ACL записи N x TCAM, где N — число портов, к которым применяется ACL?

2. Поддерживает ли коммутатор оптимизированное использование ресурсов — общий доступ к ACL?

3. Как коммутатор управляет изменениями, вносимыми в существующий список ACL?

4. Пропускает ли коммутатор запрещенный трафик во время редактирования ACL? Каждый коммутатор был настроен для использования одного списка ACL, содержащего 300 правил. Политики для входящего и исходящего трафика применялись к каждому интерфейсу L3. К каждому коммутатору был подключен Spirent Test Center для генерации трафика и компьютеры для проверки доступа к таким службам, как FTP, ICMP, Telnet и SSH. Отслеживалось использование коммутаторами ресурсов, включая троичную ассоциативную память (TCAM), загрузку ЦП, счетчики ALC и системный журнал.

При применении одного и того же ACL к нескольким интерфейсам ACL занимает N x TCAM записей, где N — число портов, к которым применяется ACL. Например, Huawei S5720-HI со списком ACL с 300 правилами к входящему трафику, применяемыми ко всем портам (48 южных и 4 восходящих интерфейса), использует 15 600 записей. При попытке


применить тот же ACL для исходящего направления S5720-HI ограничился только подмножеством интерфейсов, так как он полностью исчерпал аппаратные ресурсы коммутатора Huawei. Тестовый сценарий показал, что устройство Huawei не оптимизирует распределение ресурсов и не обеспечивает масштабируемость. В документации Huawei пользователю рекомендуется объединить правила, изменить шаблон распределения ресурсов аппаратного обеспечения или использовать подход, основанный на VLAN.

При применении ACL ко всем 48 портам S5720-HI коммутатору потребовалось значительное время (в минутах) для активации ACL. При редактировании ACL были обнаружены недостатки в работе S5720-HI и возникли нарушения безопасности сетевой инфраструктуры. Вследствие недостатков архитектуры переключения ресурсов коммутатор Huawei 5720-HI пропустил запрещенный трафик во время изменения ACL. После внесения изменений старые политики безопасности были удалены из аппаратных ресурсов коммутатора. Затем коммутатор перепрограммировал ресурсы на основе измененного списка. Выполнение всех операций не только заняло много времени, но и оставило сетевую инфраструктуру уязвимой.

Во время изменения политики компьютер успешно загрузил файл с FTP-сервера, который, согласно настроенной политике списка ACL, должен был блокировать трафик FTP.




S5720-HI также разрешил прохождение тысячам запрещенных пакетов через все коммутационные порты. Согласно системе Spirent, к тому времени, как изменения ACL вступили в силу на всех портах коммутатора Huawei, через каждый коммутационный порт прошли 70 000 пакетов — всего более 3,3 миллиона пакетов, которые следовало заблокировать. Это нарушение политики и риск возникновения нарушений безопасности.

Тот же набор тестов был проведен на коммутаторах Catalyst серии 3K/9K. Коммутаторы Catalyst поддерживают высокоскоростное редактирование политик (добавление/удаление) и эффективно переключают и распределяют ресурсы для масштабирования и обеспечения безопасности. Благодаря функциям ACL Label-Sharing и Hitless ACL коммутаторы продемонстрировали применение сетевых политик без нарушений безопасности сетевой инфраструктуры.

Списки ACL являются одним из самых базовых механизмов, используемых для классификации трафика. Они могут использоваться для многоадресной рассылки, обеспечения гарантированной полосы пропускания и информационной безопасности. Важно, чтобы внесение изменений в записи конкретного сценария использования не влияло на исполнение других сценариев. В то время как устройства Cisco успешно прошли этот тест, устройства Huawei не смогли выполнить это важное требование.

Переключение питания для подключенных устройств Одной из основных причин простоя сети является отключение питания. Обеспечение функционирования оборудования сетевой инфраструктуры и подключенных устройств в случае отключения питания является одним из основных способов решения этой проблемы. По мере развития стандарта Power over Ethernet (PoE) и увеличения мощности этой технологии от PoE (15,4 Вт), PoE+ (30 Вт), UPoE (60 Вт) до 100 Вт и более (в будущем) к коммутационному порту, обеспечивающему питание и доступ к данным, подключается все больше устройств. В типичной организации мы видим использование как традиционных устройств с PoE (телефоны IP, видеокамеры, точки беспроводного доступа), так и устройств нового поколения IoT (подключенное светодиодное освещение, сенсоры). Непрерывная работа устройств, таких как источники света и камеры наблюдения, чрезвычайно важна.



Cisco уделяет очень большое внимание обеспечению высокой доступности и бесперебойному питанию этих устройств, даже если некоторые из блоков питания (БП) этих устройств отключаются или происходит перезагрузка или обновление программного обеспечения системы. Компания Huawei утверждает, что предлагает некоторые сходные функции, среди которых разделение цепей питания с переключением аппаратного обеспечения или ускоренное переключение питания, но при развертывании в реальной корпоративной сети они не функционируют должным образом.

Наше сравнительное тестирование методов и процессов подачи питания было обращено к двум аспектам:

1. Резервирование по питанию стека коммутаторов 2. Высокая доступность питания (быстрая подача PoE и бесперебойное питание)

Питание стека

Мы обнаружили, что стек коммутаторов Cisco может совместно использовать все подключенные блоки питания благодаря специальной укладке силовых кабелей. Благодаря технологии Cisco Stack-Power потребность в отдельном, внешнем резервном блоке питания устраняется, что экономит время и пространство. Для повышения доступности во время отключений определенным коммутаторам и портам, например для подключаемых устройств с PoE, может быть назначен высокий приоритет.

Мы проверили работу технологии Cisco Stack-Power посредством создания стека коммутаторов с одним резервным блоком питания и подключения следующих устройств: точки беспроводного доступа, ноутбуков с проводным и беспроводным подключением, iPhone и различных, подключенных через PoE источников света. В процессе непрерывной отправки данных на ноутбуки и iPhone мы отключили один блок питания, чтобы увидеть, какой эффект это окажет на подключенные устройства. Мы обнаружили, что до тех пор, пока стек коммутаторов обеспечивает достаточную мощность для питания подключенных устройств, они передают оставшуюся мощность устройствам с PoE. Благодаря общему пулу питания неважно, функционирует или нет какой-то отдельный блок питания.



Huawei не предлагает возможностей общего пула питания. Единственной альтернативой для Huawei является добавление еще одного резервного источника питания на 4–6 коммутаторов. Это увеличивает капитальные затраты в связи с расходами на приобретение и требованиями к пространству, а также операционные расходы из-за технического обслуживания и мониторинга систем электроснабжения с низким коэффициентом использования.

Высокая доступность устройств PoE

Cisco предлагает два варианта обеспечения высокой доступности для устройств, подключенных и питающихся от коммутаторов Cisco: Fast PoE (FPoE) и Perpetual PoE (PPoE).

С помощью технологии Fast PoE коммутатор запоминает последние требования к мощности, исходящие от определенного порта, и после возобновления работы источника питания переменного тока может быстро восстановить питание PoE, не дожидаясь полной загрузки программного обеспечения коммутатора.

Для тестирования Fast PoE мы настроили коммутатор Cisco 9300 для питания устройств с PoE, используя три светодиодные лампы, точку беспроводного доступа и IP-телефон. Коммутатор Cisco записал аппаратными средствами характеристики потребления питания каждого устройства с PoE для профилактики возможных сбоев питания. При возобновлении питания коммутатор быстро восстановил подачу мощности, не дожидаясь загрузки операционной системы. Отсутствие необходимости в повторном определении параметров питания каждого устройства сэкономило драгоценное время при восстановлении работы устройств с PoE. Наше тестирование обнаружило, что восстановление питания происходит в течение 15–20 секунд.

Затем тот же тест проводился с коммутатором Huawei аналогичной конфигурации. При сбое питания и последующем его восстановлении коммутатор прошел через полный цикл перезагрузки, прежде чем восстановил подачу питания устройствам с PoE. Мы провели несколько тестов, которые показали, что восстановление питания PoE у коммутатора Huawei занимает в среднем 3 минуты 8 секунд по сравнению с 15–20 секундами у коммутатора Cisco, что почти в 12 раз медленнее. В случае Huawei задержка продолжала расти, поскольку устройствам с PoE также требуется дополнительное время для загрузки и установки подключения к сетевой инфраструктуре.

Fast PoE Cisco Huawei Среднее время восстановления подачи питания устройствам с PoE 17,5 секунды 3 минуты 8 секунд


Благодаря технологии Cisco Perpetual PoE (PPoE) питание указанным портам подается постоянно и непрерывно. Для тестирования PPoE несколько светильников были подключены к портам коммутатора Huawei по технологии PoE и портам коммутатора Cisco с маркировкой PPoE. Питание коммутаторов не прерывалось, но каждый коммутатор был перезагружен на уровне программного обеспечения. Время, которое прошло между отключением светильников и их повторным включением, было измерено. Результаты ниже показывают, что после перезагрузки программного обеспечения коммутатора Cisco устройства, питающиеся по PPoE, не отключились, в то время как устройства, питающиеся от портов PoE коммутатора Huawei, оставались отключенными в среднем 12 секунд. Любой перерыв в подаче электроэнергии приводит к перезагрузке подключенных устройств с PoE, что увеличивает время простоя. В случае если к коммутатору подключены критически важные устройства, это недопустимо.

Perpetual PoE Cisco Huawei

Среднее время отключения светильника после перезагрузки коммутатора

0 секунд (лампы не погасли)

В среднем 12 секунд (варьируется от 8 до

16 секунд) Подводя итоги, Cisco Stack-Power обладает уникальным преимуществом перед Huawei благодаря объединению отдельных блоков питания в одном пуле для обеспечения отказоустойчивости. Cisco Fast PoE и Perpetual PoE обеспечивают высокую доступность всех подключенных устройств PoE в случаях, когда коммутатор перезагружается, случайно или преднамеренно.


Усовершенствования программного обеспечения и программируемость Во время нашего тестирования мы отметили, что вместо монолитной IOS в коммутаторе Cisco используется более современная и программируемая операционная система. В коммутаторах Cisco используется последняя версия v16.6.1 IOS XE, в которой функции IOS реализованы как приложение поверх ядра Linux. С ядром Linux Cisco может предложить пользователям и разработчикам доступ к разнообразным функциям Guest Shell Linux через многочисленные интерфейсы программирования, в том числе для размещения приложений.

• Благодаря функции Guest Shell, которая

обеспечивает различные сценарии для сетевой инфраструктуры, Cisco IOS-XE имеет возможность размещать приложения Linux. Guest Shell позволяет использовать/устанавливать популярные и распространенные приложения Linux (например, YDK (Yang Development Kit), среду объектноориентированного программирования Python, поддержку протокола NETCONF (сетевой протокол конфигурации IETF), RPC (удаленный вызов процедур), JSON (формат обмена данными на основе JavaScript), XML-кодирование и многое другое в безопасном режиме. Таким образом, размещение/запуск открытых приложений Linux осуществляется безопасно для критически важных функций коммутатора (например, перезагрузки коммутатора из оболочки, или манипуляций с ядром, или вызова незапланированного простоя устройства во время эксплуатации).

• Одним из преимуществ оболочки Guest Shell на основе Linux является то, что пользователи могут использовать любой язык сценариев Linux для выполнения основных задач автоматизации на площадке. Одним из этих языков является Python, который поддерживается Cisco Polaris Guest Shell как встроенный язык программирования.

• Чтобы оценить Guest Shell, мы запустили сценарий автоматизации, который выполняется на коммутаторе как «агент» и при каждом изменении настроек, которое он обнаруживает, сетевому администратору отправляется электронное сообщение с уведомлением об обнаруженных изменениях. Мы легко смогли настроить Guest Shell Linux для выполнения роли сервера электронной почты, с которого отправляется автоматическое уведомление по электронной почте от коммутатора администратору. Затем мы запустили в Guest Shell агент сценария Python.

Сетевая ОС

Guest Shell

Контейнер открытых приложений API-интерфейс

Приложения Linux


• В процессе работы агента мы произвели на коммутаторе несколько изменений конфигурации и увидели, что уведомления по электронной почте были немедленно направлены администратору. Мы смогли задать адрес электронной почты администратора через код Python. Продукты Huawei, оцениваемые в настоящем отчете, не имеют функции, эквивалентной Cisco Guest Shell.


5. Надежность: обеспечение безопасности сетевой инфраструктуры Также мы отметили несколько новых функций, которые повышают безопасность сетевой инфраструктуры и системы, а также предусмотренную для пользователей возможность мониторинга для выявления проблем и угроз. Ключевыми среди них являются следующие.

• Image Signing. Для защиты от использования образов из ненадежных источников и гарантии того, что образы не были изменены или подделаны, используется цифровая подпись. Для подписи кода используется алгоритм хеширования, похожий на расчет контрольной суммы; затем хеш шифруется с помощью ключа подписи. Во время выполнения подписанный код проверяется доверенным элементом системы, чтобы убедиться, что он не изменился. Доверенный элемент является частью оригинального кода, внесение изменений в который невозможно (неизменяемый).

• Secure Boot. Гарантирует, что на платформе Cisco загружается только подлинное программное обеспечение Cisco (через процессор обеспечения безопасности, память и Boot ROM). Эта функция повышает надежность подписывания образов с помощью аппаратного якоря доверия (также неизменяемого) и предотвращает физические атаки с заменой компонентов.

• Trust Anchor Module (TAm). Специальный чип, предназначенный для

предотвращения краж и фальсификаций, со встроенными криптографическими функциями, который обеспечивает защиту как конечного пользователя, так и цепочки поставок. Защита конечных пользователей включает высокобезопасное хранение учетных данных пользователя, паролей и т. д., тогда как защита цепочки поставок



предусматривает вставку уникального идентификатора безопасности устройства (SUDI) при производстве для проверки подлинности аппаратного обеспечения Cisco. В отличие от общих решений, таких как Trusted Platform Module (TPM), которые являются идеальными для вычислительных устройств общего назначения, таких как серверы и компьютеры, Cisco TAm специально создан для встроенных вычислительных устройств, таких как маршрутизаторы и точки доступа Wi-Fi. В сочетании с Secure Boot он обеспечивает защиту цепочки поставок и защиту от физических атак в целях фальсификации микропрограммного обеспечения.

• Run-time Defenses. С помощью лучших программных и аппаратных практик обеспечивает защиту от продолжительных удаленных атак посредством переполнения буфера и атак возвратно-ориентированного программирования (ROP). Cisco использует безопасные библиотеки и такие методы, как рандомизация размещения адресного пространства (ASLR), X-пространство и т. д., которые чрезвычайно затрудняют для киберпреступника эксплуатацию уязвимостей, связанных с адресами памяти, и обеспечивают отказоустойчивость и устранение угроз от ROP-атак.

Кампусные сетевые инфраструктуры Cisco также могут использовать модуль APIC-EM — контроллер Cisco APIC для предприятий. Это единая точка для автоматизированного управления всей инфраструктурой фабрики — как физическими, так и виртуальными ресурсами. Комплексная панель управления безопасностью модуля APIC-EM является частью его системы проверки целостности, которая осуществляет мониторинг всех уровней инфраструктуры, как показано ниже.



• Безопасность уровня управления. Коммуникационный канал между точками доступа и контроллером для безопасного обмена настройками и данными беспроводных клиентов. По умолчанию Cisco обеспечивает безопасность канала уровня управления с помощью уникального сертификата изготовителя (MIC) для взаимной аутентификации и шифрования, тогда как Huawei оставляет канал управления незашифрованным, используя готовое решение. Небезопасный канал делает сеть Huawei уязвимой для удаленных атак повторного воспроизведения пакетов и атак через посредника, которые могут поставить под угрозу конфиденциальность данных пользователя беспроводной сети. Подход, используемый Huawei для обеспечения безопасности уровня управления, является ручным и обременительным и не гарантирует полной безопасности, поскольку компания использует режим Pre-Shared Key для каждой точки доступа.



6. Выводы Наша оценка показала, что Cisco и Huawei предлагают сопоставимые компоненты для построения кампусной проводной и беспроводной сетевой инфраструктуры, в результате тестирования которых было обнаружено, что решения Cisco обеспечивают определенные преимущества, которые отсутствуют у Huawei. По сравнению с беспроводными решениями Huawei устройства Cisco продемонстрировали высочайшую производительность, эффективное управление ресурсами, обеспечение информационной безопасности на аппаратном и программном уровне и возможность реализовать оптимизированную, надежную систему для каждого заказчика.

Мощность и эффективность передачи радиосигналов. При оценке работы и производительности беспроводной инфраструктуры в одной и той же конфигурации и развертывании с 180 клиентами мы обнаружили, что устройства Cisco эффективно используют для передачи сигнал меньшей мощности, чем устройства Huawei. Распределение подключений клиентов по шести точкам доступа в кампусной инфраструктуре Cisco было более равномерным. Примечательным является функциональная способность точек доступа Cisco автоматически переключаться с частоты 2,4 ГГц на частоту 5 ГГц для обеспечения оптимального покрытия клиентских устройств.

Высокая производительность. Тестирование производительности определило, что суммарная пропускная способность точек доступа Cisco в двухдиапазонном режиме выше на 15–22 %. При автоматическом переключении двух из шести точек доступа Cisco в двойной режим 5 ГГц производительность была на 40 % выше.

Гарантированная полоса пропускания видеовызовов и обнаружение помех. Во время активной потоковой передачи видео при использовании среды с одинаковым трафиком и количеством клиентов устройства Cisco поддерживают больше сеансов видеосвязи, чем устройства Huawei. Способность Cisco выявить и правильно идентифицировать источники помех Wi-Fi оказалась намного выше, чем у Huawei.

Впечатляющая отказоустойчивость. Тестирование на соответствие требованиям к высокой доступности выявило, что Cisco эффективнее переключается между ресурсами при отказе и обеспечивает бесперебойную работу пользователей и приложений на беспроводных устройствах.

Encrypted Traffic Analytics. Инновационные инструменты корпоративного уровня Cisco успешно справлялись с идентификацией приложений и защитой сетевой инфраструктуры от сложных угроз, скрытых внутри зашифрованного трафика, без нарушения конфиденциальности данных.


Безопасность и оптимизация аппаратных ресурсов. Коммутаторы Cisco Catalyst продемонстрировали способность адаптироваться к изменениям политик сетевой инфраструктуры без компрометации ее безопасности. Мы наблюдали, что коммутаторы Huawei пропустили данные, которые должны были быть заблокированы во время внесения изменений в список ACL.

Высокая доступность для устройств с PoE. Технология Cisco Stack-Power обладает уникальным преимуществом перед Huawei. Cisco Fast PoE и Perpetual PoE обеспечивают высокую доступность всех подключенных устройств PoE в случаях, когда коммутатор перезагружается, случайно или преднамеренно.

Программируемость ПО. ОС Cisco IOS XE поддерживает технологии, которые упрощают автоматизацию и выделение ресурсов и повышают эффективность работы сетевого инженера.

Надежность. Надежные системы Cisco гарантируют надежность сетевой архитектуры.

7. Сведения о проверке производительности Miercom Настоящий отчет был составлен по заказу Cisco Systems, Inc. Все содержащиеся в нем данные были получены инженерами Miercom и сотрудниками тестовой лаборатории самостоятельно в рамках нашей оценки проверки производительности. Тестирование, подобное этому, основывается на методологии, которая разрабатывается совместно с поставщиком, заказавшим тестирование. Тестовые сценарии фокусируются на проверке конкретных утверждений поставщика с целью подтвердить или опровергнуть эти утверждения. Результаты представляются в виде отчета, подобного этому, который независимо публикуется компанией Miercom.

8. О компании Miercom

Компания Miercom опубликовывала сотни отчетов о сравнительных анализах сетевых продуктов в ведущих отраслевых журналах и других изданиях. Miercom обладает репутацией ведущего независимого центра испытаний.

Частные услуги компании Miercom включают в себя сравнительный анализ конкурирующих продуктов, а также оценку отдельных продуктов. Компания Miercom предлагает комплексные программы сертификации и тестирования, включая следующие: Certified Interoperable, Certified Reliable, Certified Secure и Certified Green. Продукты также можно оценить с помощью программы Performance Verified, самой подробной и надежной оценки эксплуатационных характеристик и производительности продуктов.


9. Использование настоящего отчета

Мы сделали все возможное, чтобы обеспечить точность данных в этом отчете, но нельзя исключить вероятность ошибок или упущений. Задокументированная в отчете информация также основана на данных от различных средств тестирования, гарантия точности которых находится за пределами нашей компетенции. Более того, при составлении документа были использованы некоторые утверждения поставщиков, которые были в разумной степени проверены специалистами Miercom, однако не в нашей власти проверить их на 100 %.

Этот документ предоставлен компанией Miercom «как есть» без каких-либо гарантий, утверждений или обязательств, явных или подразумеваемых. Мы не несем правовой ответственности, прямой или косвенной, за точность, полноту, целесообразность или пригодность любой информации, содержащейся в этом отчете.

Копирование любого документа (полное и частичное) без специального письменного разрешения от компаний Miercom или Cisco Systems запрещено. Все товарные знаки, используемые в документе, принадлежат их владельцам. Вы обязуетесь не использовать полностью или частично какие-либо товарные знаки из этого документа в собственных товарных знаках в отношении каких-либо действий, продуктов или услуг, которые не являются нашими, а также не использовать их способом, который может ввести в заблуждение, привести к неправильному пониманию или дезориентировать либо выражает пренебрежительное отношение к нам или нашей информации, проектам и разработкам.

Сравнение cisco dna и huawei agile campus · huawei agile campus dr170921g Октябрь...

Documents