HPE ArubaおよびCiscoコントローラーインターフェイス

ロシアではHPE Aruba機器はあまり一般的ではありませんが、米国市場のベンダーはシスコと非常に緊密に競合しています。 これらのメーカーのワイヤレスソリューションには、同様の機能と追加サービスがあります。 機器のコストは同程度です。

多くのマーケティングテスト、技術的特性の比較、各ソリューションのパフォーマンスとテクノロジーがあります。 ドキュメントを調べた後、ソリューションの機能は非常に似ていると確信しています。 ただし、機能の類似性に加えて、カスタマイズ、動作原理、およびアーキテクチャの違いに対するメーカーのアプローチはわずかに異なります。 それが私が注目したいことです。 これは、tsiskovodyがHPE Arubaをどのように構成したか、およびその結果についてのメモです。

機能性 ネットワークアーキテクチャ

どちらのベンダーも、ネットワークを構築するためのさまざまなオプションを提供しています。 Autonomousアクセスポイントに加えて、これには次のものがあります。

• 管理および監視用のコントローラー（またはコントローラーのクラスター）を備えた集中型ソリューション。
• アクセスポイントに基づくコントローラーを備えた小規模オフィス向けのソリューション。
• 多くのリモートポイント（中央のコントローラー、VPN接続）を備えた分散ソリューション。
• クラウド内のコントローラー。

企業向けの基本的なWi-Fiに加えて、企業のワイヤレスネットワークにさまざまなサービスを実装できる製品が数多くあります。 たとえば、部屋にデバイスを配置するサービス、BYODデバイスのポリシーに基づいたネットワークへの識別/アクセスのサービス、接続されたデバイスの分析などになります。

機器として、私はエントリーレベルのワイヤレスネットワークと統合アンテナを備えた典型的なオフィスのアクセスポイント用の古典的なコントローラー（集中ソリューション、コントローラーがすべてのアクセスポイントを制御する）を検討しました。


シスコおよびHPEコントローラーに基づいたソリューションの主な機能の存在を比較します。

機能	シスコ	アルバ
自動無線制御	Rrm	腕
干渉モニタリング	クリーンエア	スペクトル分析
近隣APの検出	不正検出	不正検出
アプリケーションの監視と制御	Avc	AppRF + URLフィルタリング
ローミングの最適化	ローミングの最適化	クライアントマッチ
データ暗号化（ポイントコントローラー）	DTLS	IPsec
ご予約	SSO、N + 1	アクティブ/アクティブ、アクティブ/スタンバイ
侵入防止	拭く	拭く
ポジショニング	ハイパーロケーション	-（BLEのみ）
信号伝送の最適化	クライアントリンク	-
ファイアウォール	-	ステートフルファイアウォール
ルーティング	-	静的、OSPF
IPsec / SSL VPNリモートアクセス	-	仮想イントラネットアクセス（VIA）

この表は、CiscoとArubaが基本的なWiFi機能に関して互いに対立するものがあることを示しています。 実際には、これらは異なる名前を持つ類似のテクノロジーですが、それぞれにテクノロジー/プロトコルのサポートという独自の追加「チップ」があります。 たとえば、シスコでは、ダウンリンク伝送（アクセスポイントからクライアントへ）を最適化できるClientLinkテクノロジーです。 HPEには本格的なファイアウォール、動的ルーティングプロトコルのサポート、URLフィルタリングがあります。 HPEでは、追加の機能が正確に「ワイヤレス」ではないため、コントローラーがより汎用性の高いネットワークデバイスになります。

免許

通常、シスコにはかなり複雑なライセンス体系があり、個々の機能のライセンスがあります。 しかし、無線ネットワークの場合はそうではありません。 すべてが正反対で、HPEは「最初の」場所に行きます。

HPE Aruba
コントローラには多数の異なるライセンスがあります。 重要な機能はすべて個別にライセンスされます（同じファイアウォール、スペクトル分析、またはアプリケーション分析（DPI））。 Arubaからコントローラーをテストする場合は、既に説明したように、機能ごとに個別に一時ライセンス（証明書）を手動で要求する必要があります。

シスコ
すべての機能は基本ライセンスで利用できます。 12週間の一時的なものがあります。

GUIセットアップ

HPE Aruba
HPE Arubaコントローラーでは、構成はプロファイルを介して行われます。 ポイント/ポイントのグループにワイヤレスパラメータを設定するためのプロファイルの分岐構造を以下に示します。 それは論理的で理解しやすいものです。

アルバのプロフィール

たとえば、ワイヤレスネットワークを作成するには、仮想APプロファイルを作成し、それにAAAプロファイルとSSIDプロファイルを添付する必要があります。 メインプロファイル（無線管理、QoS、AAAなど）を示す簡易セットアップメニューがあります。

「構成」セクションのメニューには、さまざまな機能を構成するためのタブが含まれています。
詳細設定、事前設定されたポリシーおよびプロファイルが豊富にあるため、初めて設定するときに混乱する可能性があります。 ここで[参照を表示]ボタンを使用すると、さまざまなエンティティ（プロファイル、ポリシー）の相互関係を表示できます。

ArubaのWLAN設定メニュー

[すべてのプロファイル]タブに移動すると、Arubaコントローラーで構成できる微妙な詳細の数が表示されます。 カスタマイズは、シスコよりも詳細です。

Aruba Controllerのプロファイル

シスコ
インターフェイスはセクション（WLAN、セキュリティ、管理など）に分割されます。 それぞれにタブ付きメニューがあります。 プロファイルまたは参照はありません。 インターフェイスはより便利で直感的に見えます。 ただし、Arubaほど詳細な設定や追加機能はありません。

たとえば、WLANセットアップメニュー。

CiscoコントローラーでWLANを構成する

HPE Aruba
接続された各クライアントには、そのアクセスポリシー（ユーザー中心のネットワーク、ステートフルファイアウォール）で特定の役割が割り当てられます。 コントローラには、事前定義されたプロファイルとファイアウォールルールがあります。 一方では、これは非常に便利です。たとえば、ゲストアクセスポリシーを最初から設定する必要はなく、このロールに特定のルールのみを追加できます。

アルバの事前定義済みプロファイルの例

一方、ファイアウォールライセンス（PEFNG）がない場合、ロールは意味を失います。 同時に、設定で使用される重要なエンティティの1つであるため、設定（AAAプロファイルなど）に残ります。

AAAプロファイルのユーザーロール

ファイアウォールの設定に触れたので、一般設定のメニューを以下に示します。 非常に広範囲。 アクセスリスト（ACL）、サービス、帯域幅制限などのセクションがあります。

Arubaコントローラーでの一般的なMEパラメーターの構成

シスコ
コントローラーにファイアウォール機能はありません。 本格的なMEは、別のデバイスに実装できます。 ただし、ワイヤレスネットワークでのトラフィック分析の主要な機能の1つは、アプリケーションごとのトラフィック分析（DPI）、つまり優先順位付けまたはブロックの可能性です。 両方のベンダーにこのオプションがあります。 シスコでは、HPE Aruba-AppRFでAVC（Application Visibility and Control）と呼ばれています。 また、Ciscoコントローラでは、特定のタイプのデバイスにアクセス制限ポリシーを設定できます（標準ACLを除く）。

シスコは、アルバと同様に、HTTP、DHCPヘッダーによってクライアントのタイプ（プロファイリング）を判別できます。 コントローラー上の特定のタイプのクライアント（iPadやAndroid-Samsungなど）について、必要なパラメーターと制限（ACL、VLAN、QoS、稼働時間など）を使用してアクセスポリシー（ローカルポリシー）を作成できます。

Ciscoコントローラーのローカルポリシー

CLIセットアップ

ワイヤレスネットワークコントローラーの構成は、グラフィカルインターフェイスを介してより快適です。 コマンドラインでは、パラメーターで選択するか、問題をデバッグする方が便利です。 比較のために、コントローラーのWLAN構成の例を示します。 多くの人は、CiscoコントローラのCLIが、多くの人になじみのある通常のCisco IOSコマンドライン（hello Aironet）に少し似ていることを知っています。 そのため、以下の例を見ると、ArubaがCisco IOSに似ているという考えが忍び寄っています。

HPE Aruba

aaa profile "tst-dot1x-peap" mac-default-role "employee" authentication-dot1x "ad-users-radius" dot1x-default-role "employee" dot1x-server-group "default" ! wlan ssid-profile "test123" essid "test123" opmode wpa2-aes ! wlan virtual-ap "virt-ap" aaa-profile "tst-dot1x-peap" ssid-profile "test123" vlan 21 

シスコ

 config radius auth add 1 1.1.1 1645 ascii secret123 config wlan create 3 test123 test123 config wlan interface 3 users_vlan21 config wlan security wpa akm 802.1x enable 3 config wlan radius_server auth add 3 1 config wlan broadcast-ssid enable 3 config wlan enable 3 

モニタリング

監視の観点では、両方のソリューションが適切に見えます。 （追加のサーバーなしで）コントローラーのみを使用する場合、Arubaはより詳細な情報を提供します。 シスコでは、ネットワーク監視データが少なくなっています。 これは、原則として一部の機能（ファイアウォールなど）が存在しないことと、ワイヤレスネットワークを監視して統計情報を保存するために別のシステム（もちろんシスコから）をインストールするように提案されたシスコの一般的なアプローチの両方によるものです。

もちろん、HPE Arubaには管理および監視システムもあります。 しかし、同時に、データベースには、追加のサーバーでのみ取得できるものがたくさんあります。 たとえば、接続情報の印刷、メールによる送信、トラフィック統計（アドレス、URL、カテゴリ）によるゲストアクセス。 ソフトウェアの最新バージョンでは、Arubaにはプロアクティブなトラフィック監視とワイヤレスネットワーク用のツールもあります。

無線パラメータの監視

HPEアルバ
Arubaは、ネットワーク上のすべてのワイヤレスユーザーの概要を提供します。 ここで、範囲、接続速度、信号強度などの分布を確認します。

一般的なネットワーク情報（クライアント、範囲、速度）

シスコ
シスコでは、現時点で一般的な接続統計も確認しています。
Ciscoコントローラのネットワーク廃棄情報

トラフィックの監視（アプリケーション、ユーザー、セッション）

Arubaにはステートフルファイアウォールがあるため、ここでのソリューションの比較は完全に正確ではありません。これは、より詳細なセッション情報を意味します。

HPE Aruba
Arubaは、使用したアプリケーションに関する情報を提供します。 vkontakteやyandexなどのリソースには署名があります。 セッションに関するデータ、ユーザーロールの分布、URLに関する情報を提示します。

使用したアプリケーションに関する情報

サイトカテゴリ、役割、WLAN、デバイスタイプなどによる一般的なビュー

シスコ
ここではすべてが控えめです-アプリケーションとデバイスの種類のみ。 特定のユーザーの統計を表示できます。 ロシアのアプリケーションにも署名があります。



シスコの一般的なアプリケーション統計

ロギング

HPEアルバ
システムメッセージを維持するための主なプロトコルはsyslogです。 システムは、カテゴリ（システム、AAA、ファイアウォールなど）へのログの配布を使用します。 それぞれについて、必要なレベルのロギングが構成されます。 それらは別々のファイルに保存されます。
Aruba GUIのシステムメッセージ

シスコ
システムログは、単一のsyslogコンソールに収集されます。 ワイヤレスネットワーク上のイベントを追跡するための重要なツールは、SNMP通知です。 メッセージは、タイプ（auth \ deauthなど）およびカテゴリ（ap、セキュリティなど）で構成できます。

Cisco SNMPメッセージとフィルタリング

おわりに

マテリアル-アプローチの違い、2つのソリューションの制御インターフェースの主観的な見方。 デバイスが提供する機能のごく一部のみが説明されています。 ワイヤレス機能は似ています。 シスコは、より直感的で論理的に構成するように見えました（おそらく、習慣の問題ですが）。 Arubaはより複雑ですが、より多くの追加サービス（VPN、FW、ルーティング）があることを忘れないでください。 もちろん、ソリューションを選択するときは、他の側面に注目する価値があります。ソリューションの信頼性。 作業の安定性、ユーザーサービス。 ベンダーの技術サポートなど。