Комментарии 9
Спасибо за интересный обзор!
Знаком с cisco. Недавно была возможность протестировать aruba ia.
Последняя, если честно — понравилась сильно меньше циски (понятно, что без полноценного контроллера сравнение некорректно).
Совершенно не понял, зачем в точку доступа засовывать не отключаемый statefull firewall — зачем он нужен в wifi решении серьезного масштаба?)
Ну и конструктивное исполнение точек у циски сильно впереди.
Знаком с cisco. Недавно была возможность протестировать aruba ia.
Последняя, если честно — понравилась сильно меньше циски (понятно, что без полноценного контроллера сравнение некорректно).
Совершенно не понял, зачем в точку доступа засовывать не отключаемый statefull firewall — зачем он нужен в wifi решении серьезного масштаба?)
Ну и конструктивное исполнение точек у циски сильно впереди.
Приветствую!
Спасибо CBS за проделанную работу!
Спасибо CBS за проделанную работу!
понятно, что без полноценного контроллера сравнение некорректно
Действительно, на мой взгляд, более корректным было бы сравнение контроллерного решения с контроллерным, или же обратить взор на бесконтроллерные решения, так как зачастую они закрывают несколько различные сегменты.зачем в точку доступа засовывать не отключаемый statefull firewall — зачем он нужен в wifi решении серьезного масштаба?
statefull firewall да и DPI позволяет организовывать ролевое применение политик на пользователей (независимо от их адресов, VLAN и т.д.), что, в отличие от файрволла на границах сети, позволяет убрать «ненужный» трафик из радиоэфира, освободив его для полезной нагрузки, а также позволяет не только убирать, но и наоборот, приоритезировать критичный real-time трафик на всем пути следования.
Ну и конструктивное исполнение точек у циски сильно впереди.
Не хотелось бы погружаться в bits-and-bytes, поэтому кому интересно оценить конструктив, это легко сделать по ссылке: Anatomy of an AP и взглянув на презу или подробное видео.
Спасибо. Да, Instant корректно сравнивать с Mobility Express. Хотя второй — тот же контроллер с некоторыми ограничениями и переработанным веб-интерфейсом, CLI остался тот же.
Ну в нашем случае firewall отключаемый (без лицензии PEFNG(PEF), насколько понимаю, он не заработает), но архитектура решения скорее рассчитана на его наличие.
Ну в нашем случае firewall отключаемый (без лицензии PEFNG(PEF), насколько понимаю, он не заработает), но архитектура решения скорее рассчитана на его наличие.
Лицензия PEF открывает функционал указанный в документе: Policy Enforcement Firewall (PEF).
Как и описано в статье HPE Aruba оперирует ролями пользователей для привязывания всевозможных политик, в том числе и фаерволирования, так что без PEF лицензий пользователям будет назначаться дефолтная роль с разрешающей все политикой.
Более подробно подобные темы разбираются в сообществе Airheads.
Как и описано в статье HPE Aruba оперирует ролями пользователей для привязывания всевозможных политик, в том числе и фаерволирования, так что без PEF лицензий пользователям будет назначаться дефолтная роль с разрешающей все политикой.
Более подробно подобные темы разбираются в сообществе Airheads.
В ZoneDirector получилось что-то среднее — тоже дофига настроек и есть базовый мониторинг, но без заточки под тысячи точек.
Решение от Aruba уже научилось dot1x/radius vlan assignment без включения statefull firewall на контроллере?
Помню, это очень покоробило — либо включать ограничение количества сессий на пользователя (я не хочу этого делать на контроллере беспроводной сети, если потребуется — это задача фаерволов), либо вся беспроводная сеть падала при сканировании интернетов каким-нибудь masscan'ом, по очевидным причинам.
Несколько лет назад имел возможность потестировать оба решения на топовых (на тот момент) точках. Контроллер арубы был очень перегружен дополнительными свистелками и перделками, но хуже выполнял основную задачу по перекладыванию фреймов из воздуха в проводную сеть.
Помню, это очень покоробило — либо включать ограничение количества сессий на пользователя (я не хочу этого делать на контроллере беспроводной сети, если потребуется — это задача фаерволов), либо вся беспроводная сеть падала при сканировании интернетов каким-нибудь masscan'ом, по очевидным причинам.
Несколько лет назад имел возможность потестировать оба решения на топовых (на тот момент) точках. Контроллер арубы был очень перегружен дополнительными свистелками и перделками, но хуже выполнял основную задачу по перекладыванию фреймов из воздуха в проводную сеть.
Насколько понимаю, сейчас есть возможность radius vlan assignment без маппинга user role.
По поводу вкл\выкл фаервола и его производительности, всё сложнее. Как уже отметили коллеги выше, по умолчанию применяется политика «allow-all». Без лицензии на фаервол не работает firewall visibility(настройки фаервола, мониторинг). Отключить можно только DPI (глобально или для роли). Повторюсь, внедрять данное решение без фаервола не вижу смысла, т. к. пропадает куча функций по настройке и мониторингу.
По поводу вкл\выкл фаервола и его производительности, всё сложнее. Как уже отметили коллеги выше, по умолчанию применяется политика «allow-all». Без лицензии на фаервол не работает firewall visibility(настройки фаервола, мониторинг). Отключить можно только DPI (глобально или для роли). Повторюсь, внедрять данное решение без фаервола не вижу смысла, т. к. пропадает куча функций по настройке и мониторингу.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Интерфейсы контроллеров HPE Aruba и Cisco