DAC-50

DAC-50

Transfert transparent entre les cellules radio ; Un. Sur la couche 2, le DAC prend en charge IEEE 802.11k (mesure des ressources radio), 802.11v (gestion du réseau sans fil) et 802.11r (itinérance rapide). 802.11k/v permet aux clients de trouver les meilleurs points d’accès candidats pour l’itinérance, tandis que 802.11r optimise le processus d’association entre les clients et les points d’accès. En outre, le mécanisme OKC est également pris en charge par le DAC ; B. Sur la couche 3, le DAC prend en charge l’itinérance de couche 3 en établissant un tunnel entre le point d’accès et le client avant l’itinérance. Remarque : 1) IEEE 802.11r est disponible lors de l’utilisation de l’authentification 802.1x ou de l’authentification par clés pré-partagées (PSK) ; 2) OKC est disponible lors de l’utilisation de la méthode d’authentification 802.1x uniquement.

Le mode de balayage en arrière-plan permet à AP de travailler de manière intermittente ou continue pour maintenir le fonctionnement normal du système WIFI, ainsi que d’obtenir autant d’informations de fond que possible sur l’interface aérienne, en consommant une partie des ressources de l’interface aérienne. Un. Mode de balayage en arrière-plan normal ; B. Mode d’analyse en arrière-plan amélioré, qui permet à AP d’obtenir plus d’informations sur les clients à proximité et les points d’accès voisins, et le résultat de l’analyse peut être appliqué par d’autres applications de niveau supérieur.

L’équilibrage de charge est un mécanisme systémique visant à assurer l’efficacité globale de l’équilibrage de charge entre différentes bandes d’un point d’accès ou différents points d’accès sous un cluster de points d’accès. a. fonction de direction de la bande 5 GHz, AP dirigera les clients les plus performants vers la bande 5 GHz où plus de ressources de canal sont disponibles ; B. Sous le cluster AP, il aide les clients à se connecter au meilleur point d’accès en mesurant la charge de travail du point d’accès en fonction de la quantité de clients connectés ainsi que de la valeur SNR (liaison descendante) ; c. Le mode manuel permet à l’administrateur d’ajuster une valeur RSSI spécifique pour déterminer le seuil d’association et d’itinérance pour que les clients répondent à des exigences particulières.

Un. Réglage automatique de la liste des chaînes sans fil conformément à la réglementation de chaque pays ; B. Réglage automatique de la bande passante du canal sans fil sur 2 GHz ou 5 GHz selon la norme IEEE 802.11 ; c. Réglage automatique de la sous-liste des canaux sans fil avec la liste des canaux spécifiée sélectionnée par l’administrateur

Un. La puissance de transmission sans fil sur chaque canal peut être automatiquement contrôlée par le système ; B. La puissance de transmission sans fil sur chaque canal peut être spécifiée comme valeur fixe par l’administrateur ; c. La puissance de transmission sans fil sur chaque canal peut également être spécifiée dans une plage par l’administrateur

Un. Prise en charge des modes d’authentification « invité » et « employé » ; b. Le CAD fournit un modèle de page de portail sur mesure ; c. Le serveur du portail DAC prend en charge les terminaux d’enregistrement par adresse MAC ; d. Prend en charge l’interconnexion avec le serveur de portail externe ;

DAC fournit aux utilisateurs authentifiés par les droits appropriés le profil de rôle d’accès. Détails comme suit : a. L’administrateur peut définir une politique détaillée et une liste de stratégies pour chaque profil ; B. La stratégie prend en charge les listes de contrôle d’accès, tandis que la liste des stratégies se compose d’un groupe de stratégies ; c. L’administrateur peut définir des règles de contrôle d’accès en fonction de l’emplacement et de l’attribut de période ; d. Soutenir l’attribut QoS comme la limitation de la bande passante sur la liaison montante ou descendante pour chaque profil ; E. Prend en charge l’attribut VLAN, pour affecter des clients spécifiques dans un VLAN défini ou un pool VLAN ; f. La fonction Access Role Profile est implémentée sur AP

DAC fournit une fonction de sécurité complète pour assurer la cybersécurité sans fil des clients. Le système identifie les points d’accès voyous au moyen de la politique et des critères suivants. Un. Pour détecter lorsque le seuil d’intensité du signal des points d’accès dépasse la valeur définie par l’administrateur ; B. Pour détecter si le nom SSID des points d’accès est valide selon la définition du système ; c. Détecter par des mots-clés définis (définis par l’administrateur) dans le nom SSID des points d’accès ; d. Pour détecter par un OUI (identificateur unique organisationnel) défini dans les six premiers chiffres de l’adresse MAC) des points d’accès, reportez-vous au mécanisme de liste noire ; E. Pour détecter par OUI légal défini, reportez-vous au mécanisme de liste blanche ; DAC est également capable de détecter les comportements de cyberattaque suivants de la part de points d’accès ou de clients malveillants potentiels : a. Points d’accès : usurpation de point d’accès, désauthentification de diffusion, dissociation de diffusion, réseau ad hoc avec SSID utilisé dans l’infrastructure actuelle, SSID long non valide, usurpation d’identité du point d’accès, attaque Omerta, réponse de sonde nulle, combinaison d’adresses non valide, code de motif non valide de désauthentification, code de motif non valide de dissociation ; b. Clients : mauvaise association de client valide, attaque Omerta, clients valides non chiffrés, paramètre d’intolérance à la bande passante 802.11 40 MHz, mode Greenfield 802.11n actif, ID client DHCP, conflit DHCP, changement de nom DHCP, authentification fréquente, SSID long (client), demande Frame-Assoc mal formée, code de motif non valide de désauthentification, code de motif non valide de dissociation ;

En coopération avec WIDS, DAC fournit WIPS pour mettre en œuvre les politiques de sécurité pertinentes : a. Politique de sécurité pour supprimer les points d’accès non autorisés afin d’atténuer les impacts destructeurs, en empêchant les clients de se connecter aux points d’accès non autorisés ; B. Politique de sécurité pour supprimer les clients escrocs (actifs/passifs) afin d’atténuer les effets négatifs, au moyen d’un mécanisme de liste noire (statique ou dynamique) ; c. Politique de sécurité pour protéger les équipements légaux en fournissant un mécanisme de liste blanche

DAC fournit un tableau de bord informatif pour représenter la situation de cybersécurité sans fil, qui est un outil complet pour informer l’utilisateur de l’état et des événements de sécurité. a. Afficher les points d’accès non autorisés et les interférences de canal ; b. Afficher les clients escrocs et les points d’accès non autorisés associés ; c. Afficher le statut de la liste noire des clients ; d. Afficher le comportement de la cyberattaque avec des détails tels que l’enregistrement du temps, etc.

Le contrôle d’accès et le mécanisme de sécurité sont mis en œuvre sur AP, a. Fonctionnalité ACL IPv4 Stateful : filtrage de paquets en ARP pour chaque client autorisé ; B. Isolation de la couche 2 entre les clients au sein d’un SSID

a. IPv4 : DHCP (serveur et client) uniquement pour l’attribution d’adresses IP des points d’accès, Radius (serveur, proxy, client) ; client LDAP ; Client AD ; Portail standard (serveur de portail, proxy de portail) ; Système de consignation interne ; Système de notification interne ; Interconnexion syslog externe ; API HTTP standard Internet ; b. IPv6 : disponible uniquement pour la fonction de transfert de données sur AP ; c. Fonction ARP et proxy ARP sur AP

Les utilisateurs peuvent exécuter des processus d’enregistrement des points d’accès automatiquement ou manuellement pour un seul appareil ou des appareils par lots, a. Enregistrement automatique par option DHCP ; B. L’enregistrement manuel nécessite que l’administrateur spécifie l’adresse IP du DAC pour les points d’accès fonctionnant initialement en mode cluster

Le système de rapport fournit la génération de rapports en ligne, l’audit et l’envoi de rapports hors ligne par adresse e-mail, a. l’administrateur peut spécifier la portée de la génération de rapports, à partir de Corp-Site-Group ; b. l’administrateur peut définir l’intervalle de temps des rapports, y compris le rapport quotidien, le rapport hebdomadaire et le rapport mensuel ; c. l’administrateur peut consulter un rapport en ligne (sur l’interface utilisateur Web du DAC) ou choisir de recevoir un rapport par courriel à tout moment

Grâce au flux de l’assistant, il est facile pour un nouvel utilisateur de configurer un réseau sans fil exclusif à partir d’un réseau société-site-groupe échelle étape par étape

Basé sur la technologie Bluetooth sur un point d’accès compatible, DAC fournit des E/S pour l’interconnexion avec une plate-forme tierce de gestion des actifs ; Remarque : des appareils portables Bluetooth, un moteur de positionnement, ainsi qu’un service et une application de gestion des actifs sont requis

Les données ci-dessous sont la commutation côté AP : a. VLAN IEEE 802.1q, Multicast Snooping (IGMP et MLD), données utilisateur par SSID ou par ARP (access role profile of clients) b. Prise en charge VLAN ou VLAN pool c. Les données de la couche 2 sont isolées dans un SSID

Mode cluster haute disponibilité basé sur la plate-forme K8s, avec trois machines physiques pour une entité DAC logique, idéal pour le déploiement de réseaux à grande échelle

1. Interface de gestion : interface web HTML5 (HTTPs) et ligne de commande 2. Gestion des comptes fournisseurs : a. Découvrez automatiquement le DAC au moyen de l’option DHCP 43 b. Authentification/enregistrement manuel via la configuration Web de DAC c. Authentification/enregistrement semi-automatique selon la liste des points d’accès dans DAC (« mode en masse ») d. DAC peut collecter la notification et le journal des points d’accès par le protocole SYSLOG ou les interruptions internes (protocole propriétaire) 3. Gestion du micrologiciel des points d’accès : a. Déploiement central du micrologiciel (nécessite un serveur Web externe ou un serveur SFTP) et gestion des points d’accès b. Version du firmware du point d’accès à jour vérification quotidienne selon la politique définie c. DAC télécharge automatiquement FW à partir du serveur FW et le met à jour avec les points d’accès requis.

Activer/désactiver le réseau WLAN (SSID) par heure

AP prend en charge les fonctions de routage suivantes (serveur DHCP, NAT, proxy DNS) et fonctionne comme passerelle par défaut pour les clients

OKC permet aux clients d’effectuer un comportement d’itinérance rapide entre les points d’accès. La clé d’authentification IEEE 802.1X entre les clients et les points d’accès est transmise à tous les points d’accès gérés par DAC.

A. Authentification et contrôle d’accès (serveur Radius) : a. Prise en charge du serveur Radius interne et externe ; b. Le serveur Radius interne prend en charge le mécanisme Access Role Profile ; c. Les méthodes d’authentification comprennent : PAP, CHAP, MS-CHAP, MS-CHAPv2, EAP-MD5-Challenge, EAP-GTC et EAP-MSCHAPv2. B. Logiciel (serveur Radius) : le serveur Radius/EAP prend en charge l’administration des utilisateurs basée sur MAC, limitation de débit, phrases de passe, basée sur l’utilisateur VLAN, authentification des clients IEEE 802.1X via EAP-TTLS, EAP-MD5, EAP-GTC, PEAP, MSCHAP ou MSCHAPv2 ;

Logiciel de machine virtuelle : VMWare ESXi 6 (ou plus récent) ou Microsoft Hyper-V ; Système d’exploitation : serveur ubuntu 16.04 et supérieur

Recommandation : disque dur 1T, E/S : entrée 134 Mo/s, sortie 1,7 Go/s

Recommandation : 4 core 16G pour l’échelle des clients 50APs + 1000 ; 8 core 16G pour une échelle de 256APs + 5000 Clients ; 12 core 32G pour l’échelle des clients 500APs + 10000 ; 24 cœur 32G pour échelle de 1000APs + 20000 clients

Un. Pour les petits réseaux à petite échelle avec moins de 256 points d’accès, les points d’accès sont capables de travailler en mode « cluster » pour parvenir à l’autogestion ; B. Pour les réseaux à moyenne et grande échelle, les points d’accès doivent être gérés par la plate-forme DAC afin d’effectuer une gestion centralisée, une maintenance et une résilience élevée.

La clé de licence vous sera livrée. La clé de licence est utilisée avec l’ID matériel pour demander un fichier de licence. Ce fichier de licence est utilisé pour activer le produit Remarque : La licence DAC-Sec-xxx est requise pour les fonctions de sécurité

Numéro de révision : 0.13 Date de révision : 01-03-2024