Transcript WLAN Buyers GUIDE 2017

Guida all'acquisto Wi-Fi 2017
per il settore dell'istruzione
Create una rete sicura, ad alta capacità ed
economicamente conveniente per il vostro campus
2
GUIDA ALL'ACQUISTO WLAN 2017
La classe connessa
Oggi i dispositivi mobile hanno trasformato l'esperienza di apprendimento all'interno di molte classi, mentre le reti
wireless svolgono un ruolo fondamentale nel supporto dell'apprendimento basato sulla tecnologia. La classe
connessa consente agli studenti di scoprire una miriade di risorse esterne alla classe e offre agli insegnanti nuovi
metodi per coinvolgere e ispirare. Nonostante la connettività sia diventata un'aspettativa per gli studenti e offra
una piattaforma per l'apprendimento digitale, il numero sempre maggiore di dispositivi mobile all'interno delle
classi pone continuamente numerose sfide ai reparti IT. In che modo è possibile raggiungere i livelli di visibilità,
capacità e controllo necessari nell'ambito di reti wireless sempre più complesse, senza sovraccaricare gli utenti e
il reparto IT?
Il vostro campus deve fare i conti con l'accesso di dispositivi personali, ospiti e di proprietà della scuola, quali
laptop, smartphone, tablet e altri. Poiché nelle scuole sta aumentando il numero di lezioni in cui vengono utilizzati
dispositivi mobile, e i dispositivi BYOD si stanno sempre più diffondendo tra il personale e gli studenti, la richiesta
relativa alla capacità di rete è in continua crescita. Da qui nasce la necessità di disporre di reti wireless
aggiornate. Tuttavia, in che modo è possibile stabilire quale sia la soluzione più adatta alle vostre esigenze e
valida per i prossimi cinque anni?
Mentre i reparti IT passano al setaccio le varie opzioni, questa guida è stata progettata per fornirvi le conoscenze
e gli strumenti necessari per analizzare il mondo del marketing e stabilire quale sia la soluzione appropriata per il
vostro campus a partire dal 2017.
Questo documento, insieme a una checklist di valutazione e un modello di RFP, vi fornirà le informazioni
necessarie e le domande chiave da utilizzare con i fornitori, garantendo la scelta di una soluzione su misura
per le vostre esigenze.
Copyright© 2017, Aerohive Networks, Inc.
GUIDA ALL'ACQUISTO WLAN 2017
3
La vostra guida - Contenuti
Considerazioni essenziali
4
Pianificazione - Definizione delle prospettive
5
802.11ac - L'esigenza di velocità
6
Architettura - Cloud, controller e controllo distribuito
8
Gestione - Dalla distribuzione al supporto
11
Sicurezza - Accesso personalizzato
12
Coinvolgimento degli studenti
16
Riepilogo
17
Copyright© 2017, Aerohive Networks, Inc.
4
GUIDA ALL'ACQUISTO WLAN 2017
Considerazioni essenziali
Oggi il Wi-Fi si è rapidamente trasformato nel principale mezzo di accesso alla rete nella maggior parte degli
ambienti scolastici. In seguito alla sua rapida ascesa, le domande da rivolgere ai fornitori cambiano di frequente.
Finora si sono affrontati diversi argomenti, in particolar modo relativi a copertura, capacità, sicurezza, gestione,
scalabilità, integrazioni e ora al ROI, con l'ambito delle analisi e delle informazioni integrate in continua
espansione. Oggi, anche se avete bisogno di un sistema di connettività di base, è importante considerare
l'offerta completa del fornitore, per aggiungere ulteriori funzionalità in vista dell'evoluzione delle vostre esigenze.
Questa sezione presenta importanti punti di discussione con il fornitore per conseguire i massimi livelli di
valore aggiunto.
Garantire capacità per il crescente numero di dispositivi
Poiché la rete riceve costanti richieste di accesso da una gamma di dispositivi sempre più ampia, la larghezza di
banda riveste un ruolo cruciale. 802.11ac dispone delle massime velocità, anche oltre i Gigabit. Ma è sufficiente?
Oltre ad approfondire le diverse implementazioni dell'architettura WLAN e le funzionalità di ottimizzazione delle
prestazioni, vi permetteremo di stabilire il modo per sfruttare il potenziale effettivo della vostra infrastruttura,
tutelandone la crescita futura in un'unica sede o in postazioni multiple.
Garanzia dell'uptime di rete
Se gran parte della vostra offerta formativa si basa su un ambiente di apprendimento digitale, l'infrastruttura di
supporto deve essere solida per non incidere negativamente sulle ore di lezione causando inutile stress nel corpo
docente. Quali sono i tempi di ripresa della vostra infrastruttura e del vostro campus dopo un'interruzione di
servizio o una diminuzione di produttività?
Flessibilità vs sicurezza
Per far fronte all'afflusso di dispositivi, i reparti IT stanno cercando di bilanciare la flessibilità e la sicurezza in modo
da soddisfare la domanda. I piani alti dell'IT incoraggiano la creazione di produttività ed efficienza, aspetto di
cui la mobilità è parte integrante. Tuttavia, per garantire tempistiche efficienti, l'implementazione dei livelli di
sicurezza viene spesso sacrificata a favore di una maggiore flessibilità.
Visibilità di utenti, dispositivi e applicazioni
Se garantite libero accesso a dispositivi ospiti e BYOD, non è sempre possibile sapere quali utenti sono in rete,
quali dispositivi stanno utilizzando per connettersi, a quali applicazioni stanno effettuando l'accesso, e tanto
meno localizzarli. La scelta di una piattaforma di gestione appropriata è fondamentale per fornire livelli di
controllo e visibilità completi.
Ritorno sugli investimenti
Quale valore aggiunto apporta la vostra soluzione all'esperienza di apprendimento digitale? Il Wi-Fi offre
un'opportunità unica per connettersi meglio con gli studenti attraverso i propri dispositivi mobile e fornisce agli
insegnanti nuovi strumenti per migliorare l'esperienza di apprendimento. Poiché le scuole cercano di aumentare
il coinvolgimento e la produttività contenendo i costi, funzionalità quali gestione dei dispositivi della classe e
analisi potrebbero diventare criteri essenziali per la scelta di soluzioni WLAN da parte dei reparti IT.
Copyright© 2017, Aerohive Networks, Inc.
GUIDA ALL'ACQUISTO WLAN 2017
5
Pianificazione - Definizione delle prospettive
Nel caso in cui il 2017 riservi upgrade o espansioni per il vostro campus, la regola numero uno per una corretta
distribuzione consiste nell'investire nella pianificazione. Il primo passo consiste nel definire i vostri requisiti e
comprendere la domanda riguardante la rete. Questo aspetto merita di essere analizzato dal punto di vista
tecnico e del budget. È essenziale comunicare al fornitore i vostri requisiti esatti, in modo da determinare le
quantità e le posizioni degli access point in modo preciso. Avete bisogno di una copertura wireless al 100%? Quali
dispositivi supportate? Laptop, tablet, smartphone o altri dispositivi mobile? Quanto ai servizi e alle applicazioni,
intendete eseguire app vocali, video o altre app sensibili alla latenza? Avete bisogno che la vostra rete disponga
di uptime e disponibilità garantiti? Le risposte a queste domande vi aiuteranno a stilare un elenco di strumenti utili
alla vostra azienda.
Si prevede che entro il 2020 saranno oltre 50 miliardi i dispositivi connessi in rete, la stragrande maggioranza dei
quali in modalità wireless. Come pensate di pianificare la vostra rete in vista di questi dispositivi? Molte reti Wi-Fi
non sono progettate per soddisfare le caratteristiche di capacità che il campus dovrà rispettare successivamente
all'introduzione dei requisiti di accesso per periferiche, dispositivi ospiti e BYOD. Per assistervi nella pianificazione,
esistono diversi strumenti predittivi che vi consentiranno di ridurre i tempi e gli sforzi necessari per la progettazione
WLAN. Ma non lasciatevi ingannare. Tali strumenti sono chiamati predittivi per una ragione e potrebbero
solamente riguardare la copertura anziché la capacità, che invece è il parametro più importante per il numero
di access point.
Ogni ambiente è diverso e non c'è nulla di meglio di un buon survey on-site vecchio stile per garantire il successo
della vostra rete. Detto ciò, in un ambiente normale sarebbe sufficiente un survey online per fornire un quadro
accurato della situazione. Tuttavia, per testare alcune aree e verificare i risultati previsti, è necessario eseguire
un survey di convalida.
Durante il site survey, assicuratevi che il fornitore stia eseguendo un'analisi dello spettro. Tale analisi consente
di rilevare nel vostro ambiente la presenza di interferenze non di radiofrequenza come microonde, radar,
telecamere e altri dispositivi che operano sulla frequenza da 2,4 GHz come su quella da 5 GHz. Gli errori
nell'identificazione delle potenziali fonti di interferenza possono essere altamente dannosi per il funzionamento
della vostra rete wireless. Una volta installate, le soluzioni WLAN che supportano analizzatori di spettro integrati
possono offrire un vantaggio per il monitoraggio delle variazioni di radiofrequenza nel vostro ambiente.
Copyright© 2017, Aerohive Networks, Inc.
6
GUIDA ALL'ACQUISTO WLAN 2017
L'esigenza di velocità
Con la giusta pianificazione, dovreste avere un'idea precisa
del numero e del tipo di access point richiesto per il vostro
ambiente. Inoltre, se state rendendo la vostra rete a prova di
futuro, anticipando un'ampia gamma di dispositivi, l'802.11ac
Wave2 è probabilmente la soluzione che fa per voi. L'802.11ac
costituisce un importante traguardo per il settore WLAN, che già
si muove oltre la barriera dei Gigabit. Ma per il campus mobilefirst è sufficiente introdurre l'802.11ac? In parte forse sì, ma
ricordate che potete recarvi al negozio di computer più vicino e
ottenere un access point 802.11ac quasi a costo zero. Dunque,
qual è la differenza tra le soluzioni "aziendali" WLAN e SoHo, se
la larghezza di banda pubblicizzata è la stessa? La differenza
risiede nelle modalità di gestione e provisioning della larghezza
di banda.
Cosa cercare?
La gestione della larghezza di banda è possibile in diverse forme, ma in generale, è necessario richiedere al
fornitore le seguenti condizioni:
Bilanciamento del carico e steering di banda
Come minimo, le soluzioni WLAN devono permettere l'identificazione di access point o bande sovraffollate e
prendere provvedimenti in tal senso. Il bilanciamento del carico assicura che se un access point presenta un
numero elevato di client e nei dintorni è presente un access point poco utilizzato, i client possono essere
ridistribuiti e bilanciati tra i due access point. Lo steering di banda presenta un principio simile a quello del
bilanciamento del carico, ma viene attuato all'interno di un singolo access point dotato di due radio. In genere,
i dispositivi mobile sono dotati di una radio da 2,4 GHz e di una da 5 GHz, ma sono programmati per prediligerne
una rispetto all'altra. Per i dispositivi moderni, in genere si predilige l'utilizzo di quella da 5 GHz. Ciò può portare a
uno scenario dove la maggior parte dei dispositivi si connette alla radio da 5 GHz mentre sono pochi quelli
connessi alla radio da 2,4 GHz. Sebbene la radio da 5 GHz presenti una maggiore larghezza di banda (sono
disponibili diversi canali per effettuare il bonding dell'802.11n e l'802.11ac funziona esclusivamente sulla radio da
5 GHz), in alcuni casi i client avrebbero una resa migliore se collegati alla radio da 2,4 GHz. È in questi casi che
lo steering di banda garantisce l'utilizzo completo dell'access point di entrambe le radio.
Software-Defined Radio
Come spiegato in precedenza, lo spettro da 2,4 GHz è limitato a livello di capacità e i dispositivi più recenti si
stanno quindi orientando verso la modalità 5 GHz. A causa della congestione dello spettro, si verificheranno
sicuramente interferenze in una distribuzione scolastica ad alta capacità. Per migliorare le prestazioni, è
realmente consigliabile DISATTIVARE la radio da 2,4 GHz in 2/3 degli access point distribuiti. Consci dell'imminente
declino della radio da 2,4 GHz, che tuttavia dovrà essere supportata ancora per qualche tempo, alcuni fornitori
hanno iniziato a implementare nei loro access point una doppia radio da 5 GHz, con la possibilità di configurare
una delle due radio a 2,4 o a 5 GHz. In questo modo, è possibile distribuire immediatamente doppi access point
da 5 GHz in aree ad alta capacità, per poi passare alla modalità 5 GHz in aree in cui altrimenti sarebbe stato
necessario disabilitare la radio da 2,4 GHz. Ciò vi permette di massimizzare il vostro investimento sia oggi che in
futuro, evitandovi di sostituire i dispositivi.
Roaming L2/L3 veloce e sicuro
Poiché è sempre maggiore il numero di studenti e di dispositivi in movimento e di servizi vocali e video per il Wi-Fi
abilitati dai campus, è fondamentale che il passaggio tra gli access point avvenga in maniera trasparente. La
maggior parte delle soluzioni WLAN presenti sul mercato supporta il trasferimento in roaming rapido all'interno
di domini Layer 2. Tuttavia, se gli access point vengono distribuiti su più VLAN, verificate in che modo il vostro
Copyright© 2017, Aerohive Networks, Inc.
GUIDA ALL'ACQUISTO WLAN 2017
7
fornitore riesce a supportare (se possibile) un passaggio tra VLAN senza interruzioni. In genere, ciò richiede un
tunnel GRE tra i controller o gli access point nelle diverse VLAN che consentono a un client di mantenere il
proprio indirizzo IP originale fino al termine del trasferimento dei dati. Successivamente, il tunnel viene eliminato
e il client può richiedere un indirizzo IP nella nuova VLAN. Senza le funzionalità di roaming Layer 3, è possibile
che il client perda la propria connessione e ciò può essere problematico laddove i client si trovino al confine
tra due VLAN.
Pianificazione airtime dinamica e SLA
In un ambiente caratterizzato da client misti, è possibile che quelli più datati rallentino le prestazioni dei dispositivi
più recenti. Gli SLA vi consentono di impostare un livello minimo di capacità di trasmissione mirato per alcuni tipi
di dispositivi. Se gli SLA non vengono rispettati, è possibile ricorrere alla pianificazione airtime dinamica per risalire
lungo la coda di priorità. La pianificazione airtime dinamica considera inoltre lo scenario complessivo del client e
può riordinarne in modo intelligente la trasmissione dei dati, migliorando così le prestazioni dei dispositivi più
recenti, come il modello .11ac/n, senza influire sulle prestazioni dei dispositivi legacy .11g/a.
QoS basato sul contesto
Se da un lato le funzionalità relative all'ottimizzazione
della larghezza di banda, come lo steering di banda e
il bilanciamento del carico, mantengono un ordine
generale all'interno della rete, vi sono spesso gruppi di
utenti, dispositivi o applicazioni ai quali è necessario dare
la priorità, porre dei limiti o che è addirittura necessario
escludere completamente. L'accesso basato sul
contesto, che verrà affrontato in questa sezione
dedicata alla sicurezza, vi consente di identificare utenti,
dispositivi e applicazioni. Una volta identificati, potrete
impostare diversi livelli di qualità di servizio e di accesso
per ciascun gruppo. Per quanto riguarda le prestazioni,
ciò significa che potrete assegnare maggiore larghezza
di banda al vostro personale e agli studenti piuttosto che
agli utenti ospiti, ai dispositivi della scuola piuttosto che ai
BYOD o alle app vocali e video piuttosto che alle app di
gaming. Inoltre, il QoS consente la limitazione o il banning
di app illegali o ad uso intensivo della larghezza di
banda, inclusi i torrent e gli aggiornamenti software.
Figura 1 - Ottimizzazione ad alta densità
Copyright© 2017, Aerohive Networks, Inc.
8
GUIDA ALL'ACQUISTO WLAN 2017
Architettura - Cloud, controller e controllo distribuito
Gli standard WLAN, così come l'infrastruttura sottostante, si stanno evolvendo per supportare trasmissioni dei dati
più rapide. Negli anni '90, quando il Wi-Fi stava ancora muovendo i primi passi, gli access point operavano
indipendentemente l'uno dall'altro, sebbene condividessero impostazioni comuni quali gli SSID, ma non per
quanto riguarda la velocità di roaming, il bilanciamento del carico, la coordinazione di radiofrequenza e così
via. Negli anni 2000, con l'avvento del Wi-Fi, c'era bisogno di un control plane per garantire la sopravvivenza del
Wi-Fi come tecnologia al servizio delle aziende. Con i chipset a prezzi ridotti, il controller WLAN è stato creato per
centralizzare il control plane e fornire una soluzione coordinata e più intelligente. Sebbene i controller WLAN
siano ancora ampiamente in uso, oggi viene data maggiore enfasi alle soluzioni basate sul cloud e alla
decentralizzazione del control plane al margine della rete. Esaminiamo le diverse opzioni oggi disponibili.
Riepilogo del control plane
Il control plane è l'insieme delle operazioni in tempo reale all'interno dell'infrastruttura, come il controllo delle
connessioni, la diffusione delle informazioni di connettività e il calcolo del percorso ottimale. Nel Wi-Fi tale piano
può comprendere la gestione della radiofrequenza, il roaming, il bilanciamento del carico, il mesh, l'applicazione
di policy e molte altre operazioni fondamentali. Un control plane condiviso in qualsiasi sistema infrastrutturale può
essere ottenuto in due modi: centralizzato o distribuito. Sia per lo switching che per il routing, il control plane viene
distribuito, gestito da protocolli (ad esempio spanning tree, OSPF) tra dispositivi intelligenti. In passato, il control
plane nelle tecnologie Wi-Fi era centralizzato, ma negli ultimi due anni i principali fornitori WLAN hanno optato
per un modello di controllo distribuito.
Progressi architetturali
"All'epoca, i controller WLAN rappresentavano una scelta puramente economica. Attribuire una maggiore
potenza di calcolo agli access point era semplicemente proibitivo dal punto di vista dei costi" - Bob O’Hara,
inventore del controller WLAN.
Con la loro creazione, i controller hanno consentito di ridurre i problemi legati alla sicurezza causati dalle reti non
pervasive, costituite da access point autonomi. Oggi, tuttavia, con il crescente ricorso alla connessione Wi-Fi,
l'ampliamento delle reti e i maggiori requisiti prestazionali, il modello centralizzato presenta forti limitazioni
architetturali che riguardano i colli di bottiglia dei dati, la scalabilità, l'affidabilità e costi non necessari.
Copyright© 2017, Aerohive Networks, Inc.
GUIDA ALL'ACQUISTO WLAN 2017
9
Dopo aver ammesso alcune delle carenze del modello di controller completamente centralizzato, i fornitori
hanno cominciato ad adattare le proprie soluzioni attraverso l'integrazione del portfolio e la virtualizzazione.
Quest'ultima ha fornito maggiore scalabilità, dato che il processore dell'host e le interfacce di rete e memoria
potevano essere ampliati secondo necessità. Questo modello ha anche riattribuito parte dell'intelligence agli
access point, con l'introduzione della trasmissione dei dati locali. Tra le offerte alternative è inclusa l'integrazione
del controller all'interno degli switch del livello di accesso, firewall e altre soluzioni di networking, con conseguente
riduzione dei componenti delle soluzioni. Per distribuzioni più piccole, un access point all'interno di un cluster
poteva fungere anche da controller per un gruppo di access point locali.
Anche se questi modelli ibridi offrono
una maggiore flessibilità di
distribuzione, comportano alcuni
svantaggi che è importante
considerare. La realtà è che la
maggior parte dei fornitori stava
tentando di adattare la propria
architettura basata su controller per
gestire una rete più moderna. Con il
controller ancora funzionale come
"cervello" della rete, se la trasmissione
dei dati locali era attiva, le
organizzazioni si trovavano a
sacrificare l'utilizzo di alcune funzioni
importanti, come policy QoS e di
firewall, all'esigenza che il traffico degli
utenti passasse attraverso il controller.
Le soluzioni che includono la
funzionalità dei controller negli access
point si troverebbero ad avere
problemi anche in presenza di un
certo numero di access point
Figura 2 - Architettura basata su controller ibrido
connessi, dato che un access point
singolo non dispone nemmeno
lontanamente della potenza di elaborazione di un'appliance dedicata (fisica o virtuale).
Oggi le soluzioni ibride sono ancora utilizzate da molti fornitori, vincolati come sono alla loro architettura
legacy, dopo aver investito così pesantemente nella tecnologia; la maggior parte di loro, però, se ne sta
lentamente allontanando.
Controller cloud
Negli ultimi anni, il cloud si è diffuso tra le aziende intenzionate a centralizzare i servizi software e a ridurre i costi.
Con gli access point meno dipendenti dai controller per caratteristiche e funzioni, alcuni fornitori WLAN offrono
servizi controller in hosting, con un piano di pagamento annuale, garantendo alle aziende maggiore flessibilità
rispetto ai budget di spesa.
Commercialmente questo modello funziona per molti, ma tecnicamente presenta ancora dei limiti. In definitiva,
la soluzione continua a utilizzare un controller, e gli access point continuano a dipendere dal controller per
determinate funzioni; di conseguenza, se la connettività va persa tra i due, questo influenza il servizio all'interno
delle aziende, dalla connettività degli utenti alle policy di sicurezza all'enforcement. In aggiunta, anche
acquistando direttamente l'hardware, se l'azienda dimentica di rinnovare la licenza del controller o i contratti di
supporto, la sua rete wireless cessa di funzionare, il che rappresenta una nota dolente per molte aziende.
Quando si valutano soluzioni di questo tipo, è essenziale che le aziende verifichino con i fornitori cosa accadrà se
gli access point perdono la connettività verso il cloud e se la licenza del controller scade.
Copyright© 2017, Aerohive Networks, Inc.
10
GUIDA ALL'ACQUISTO WLAN 2017
Controllo distribuito con la gestione cloud
Oggi è possibile sfruttare la maggiore potenza di elaborazione dei chipset odierni, combinati con un protocollo
del control plane (simile agli OSPF e STP utilizzati per lo switching e il routing), per realizzare un progetto
completamente distribuito. In questo modo, viene eliminata l'esigenza di un controller LAN wireless
completamente dedicato, sia esso fisico, virtuale o basato sul cloud, mantenendo al contempo un piano
di gestione centralizzato.
Figura 3 - Cinque generazioni di architettura Wi-Fi
La distribuzione completa del control plane consente di ottenere tre vantaggi principali:

Risparmi sui costi: rimuovendo licenze, software e hardware controller, è possibile ottenere notevoli
risparmi sui costi senza compromettere la funzionalità.

Semplicità operativa: l'utilizzo di un control plane distribuito è intrinsecamente resiliente e consente
ai dispositivi WLAN di auto-organizzarsi e di integrarsi direttamente nell'architettura di accesso,
applicando le policy di sicurezza prima che il traffico WLAN attraversi la LAN cablata.

Scalabilità e flessibilità: con ogni access point o dispositivo di rete che partecipa all'elaborazione
dei dati, in modo molto simile a un computer in rete, quest'ultima è in grado di fornire funzionalità
complete a qualsiasi livello di distribuzione, indipendentemente dalle dimensioni. Ogni dispositivo
aggiunto alla rete non aumenta solo la copertura, ma anche la capacità di elaborazione totale
della rete stessa.
I control plane e i data plane completamente distribuiti sono essenziali per una rete mobile-first, ma il piano di
gestione svolge un ruolo chiave nello sviluppo e nel supporto della LAN wireless, e deve restare centralizzato.
Copyright© 2017, Aerohive Networks, Inc.
GUIDA ALL'ACQUISTO WLAN 2017
11
Gestione - Dalla distribuzione al supporto
Una volta noti gli access point che desiderate installare, dovete valutare il modo in cui li distribuirete e
supporterete. Poiché le reti wireless sono sempre più complesse, i reparti IT delle scuole sono alla ricerca di
soluzioni in grado di eliminare la necessità di trasformarsi in guru della radiofrequenza per poter distribuire e
gestire il Wi-Fi. Le CLI (Command Line Interface) sono sempre meno richieste in presenza delle moderne soluzioni
WLAN e molti fornitori offrono una piattaforma di gestione per centralizzare la configurazione e il supporto delle
reti. Se il vostro fornitore vi propone i controller WLAN, assicuratevi che la gestione venga inclusa nell'offerta,
poiché spesso i fornitori tralasciano inizialmente questo aspetto tentando di nascondere i costi aggiuntivi. Il cloud
è sempre più un metodo popolare per la gestione WLAN in quanto offre maggiori livelli di flessibilità, sia a livello
tecnico che commerciale, garantendo al contempo una visione centralizzata della gestione.
Le piattaforme di gestione centralizzata facilitano la distribuzione, la visibilità e il supporto della vostra rete,
specialmente in presenza di postazioni multiple. Durante lo studio delle diverse soluzioni, potete determinare se il
cloud pubblico, quello privato e le opzioni on-premise sono disponibili per soddisfare le
vostre esigenze e sfidare il fornitore a dimostrare le caratteristiche seguenti:

Pianificazione: come importare le planimetrie ed effettuare un'indagine
predittiva utilizzando tali planimetrie per un ambiente live finalizzato alla
creazione di report su copertura, posizione dei client, stato degli access point
e così via.

Provisioning: qual è il processo per connettere un access point e configurare
sia funzionalità di base che avanzate? Quale livello di competenza è
necessario per comprendere l'interfaccia: è sufficiente un livello principianti o
è necessario un manuale di 500 pagine con una settimana di training?

Policy unificate: la piattaforma supporta dispositivi aggiuntivi come switch e
router? Qual è il livello di difficoltà per la configurazione di policy coerenti? La
soluzione è in grado di gestire dispositivi di terze parti?

Visibilità: qual è il livello di granularità della visibilità e del reporting offerti? I dati
storici sono disponibili? È possibile effettuare ricerche all'interno del sistema?
Sono disponibili dashboard personalizzabili?

Assistenza: che succede in caso di problemi? Come è possibile effettuare la
risoluzione dei problemi sui client più complessi? Quali strumenti sono inclusi
per la risoluzione dei problemi?
Copyright© 2017, Aerohive Networks, Inc.
12
GUIDA ALL'ACQUISTO WLAN 2017
Sicurezza - Accesso personalizzato
Ah, l'infinito piacere di tenere al sicuro la vostra rete, mantenendo al contempo l'equilibrio di usabilità ed
evitando di rendere l'accesso alla rete complesso per i vostri utenti. Con una gamma di dispositivi da supportare,
i reparti IT stanno cercando di individuare un modo semplice per effettuare l'onboarding e mettere in sicurezza
sia i dispositivi personali che quelli di proprietà della scuola, inclusi BYOD, ospiti e periferiche. Tuttavia, le parole
"semplice" e "sicurezza" spesso non vanno di pari passo.
I reparti IT stanno inoltre cercando di individuare gli utenti connessi, i dispositivi che questi utilizzano per
connettersi, le app che questi tentano di utilizzare e la loro posizione, in base al contesto. La mobilità ha
trasformato il modo in cui affrontiamo la sicurezza di rete al livello di accesso, e il contesto è la chiave per
una distribuzione di successo.
Accesso fornito solo a utenti autorizzati
Quando pensate al Wi-Fi, una delle considerazioni più importanti è senza dubbio la sicurezza della rete. Nel corso
degli anni, la sicurezza WLAN ha subito un'evoluzione che va ben oltre l'autenticazione e la crittografia di base.
Man mano che i dispositivi passano alla tecnologia mobile e si presentano nuovi casi d'uso, è necessario attivare
ulteriori controlli di perimetro. In una visione semplicistica, sono due le condizioni a cui aspirare: 1. garantire
l'accesso solo a persone e dispositivi idonei e 2. una volta connessi, assicurare che si comportino in modo
adeguato. Iniziamo dalla numero 1.
Chi è presente nell'elenco ospiti?
Innanzitutto, chiariamo che l'autenticazione precede le altre operazioni e se non viene eseguita correttamente,
potete benissimo evitare di leggere il resto di questa sezione. Prima di determinare quale metodo di
autenticazione debba essere utilizzato, bisogna scegliere chi volete che acceda alla rete. Molti campus sono
caratterizzati da una crescente richiesta di connettività tramite dispositivi aziendali, ospiti, BYOD e periferiche.

Dispositivi di proprietà della scuola: in genere, si tratta di dispositivi gestiti e amministrati centralmente. Il
reparto IT dispone di un accesso più semplice a tali dispositivi e, in molti casi, può inviare configurazioni e
impostazioni da remoto.

BYOD: per i dispositivi di tipo consumer di proprietà della scuola, è possibile implementare la gestione
MDM (gestione dei dispositivi mobile) per mantenere parzialmente l'ordine. Tuttavia, per i BYOD
personali, i membri del personale e gli studenti desiderano accedere alla rete senza dover incappare
in mille passaggi.
Copyright© 2017, Aerohive Networks, Inc.
GUIDA ALL'ACQUISTO WLAN 2017
13

Ospiti: considerata la crescente aspettativa dei visitatori di ottenere l'accesso a Internet, esistono diversi
metodi per mettere in sicurezza e amministrare la connettività degli utenti ospiti. Per l'utente, l'accesso
deve essere semplice, ma nel back-end è necessario che vi siano dei controlli per impedire agli utenti
ospiti di accedere ad alcune aree della rete.

IoT: l'aumento di elementi connessi alla rete, da stampanti e TV Apple fino a lampadine, sistemi di
sorveglianza e impianti HVAC, testimonia come i reparti IT si trovino ad affrontare una nuova ondata
di sfide legate alla sicurezza.
In uno scenario ideale, sceglieremmo di implementare l'802.1X (autenticazione basata su RADIUS) per
ciascun dispositivo. Tuttavia, per alcuni dei casi precedentemente citati, ciò non sarebbe possibile. I
dispositivi aziendali sono intuitivi, sono gestiti centralmente e utilizzano strumenti come le Group Policy (criteri
di gruppo) o MDM. Le impostazioni 802.1X possono essere configurate da remoto. Tuttavia, per quanto
riguarda i dispositivi IoT, ospiti e BYOD personali, è possibile che il reparto IT non disponga dell'accesso o dei
diritti per installare certificati, o ancora che i dispositivi non supportino l'802.1X già dalla fase iniziale.
In genere, l'unica alternativa prevede l'utilizzo di un captive portal di base per gli utenti ospiti o di una PSK
(Pre-Shared Key) per i dispositivi che non supportano l'802.1X, e nessuno dei due metodi quali sembra essere
particolarmente efficace per un'azienda sensibile alla sicurezza. Se da un lato la PSK prevede
l'autenticazione degli utenti, ogni dispositivo condivide una password comune, il che impedisce l'accesso
basato sul contesto, che affronteremo più avanti. Se la chiave viene compromessa, si verificheranno dei
problemi amministrativi. Ma c'è ancora una speranza. Esiste un metodo di autenticazione che molti fornitori
stanno adottando, noto come Pre-Shared Key "privata" (PPSK). I sistemi PPSK sono chiavi precondivise create
appositamente per utenti o dispositivi singoli sullo stesso SSID. Tali chiavi offrono la flessibilità delle policy di
gestione e l'unicità della chiave tipiche dell'802.1X, insieme alla semplicità propria delle chiavi precondivise,
senza alcun inconveniente intrinseco. Poiché le chiavi sono conformi allo standard di settore WPA2-AES, sono
compatibili con tutti i dispositivi odierni che supportano PSK e non richiedono l'installazione di alcun software
aggiuntivo sul dispositivo client. Per l'utente, le PPSK costituiscono un metodo semplice di accesso alla rete,
mentre, per gli amministratori, esse sono in grado di garantire l'identificazione univoca di ciascun dispositivo.
Figura 4 - Il vantaggio della chiave precondivisa privata
Copyright© 2017, Aerohive Networks, Inc.
14
GUIDA ALL'ACQUISTO WLAN 2017
L'importanza dell'accesso basato sul contesto
Abbiamo già affrontato l'importanza dell'autenticazione e il suo ruolo nella prevenzione dell'accesso di utenti e
dispositivi non autorizzati. Tuttavia, la vostra prima linea di sicurezza è costituita dal controllo dell'accesso basato
sul contesto, elemento chiave per garantire un'ulteriore ondata di protezione. All'insaputa dell'utente, che si limita
a connettersi alla rete con l'ausilio di qualche clic, esistono potenti servizi di sicurezza che possono essere eseguiti
in background rispetto alla vostra infrastruttura wireless. Una volta che l'utente ha immesso le proprie credenziali
802.1X (in genere AD) o PPSK, l'infrastruttura WLAN analizzerà ogni dettaglio dello stesso utente e gli attribuirà un
profilo in base al ruolo da questi ricoperto nell'organizzazione. In genere, un profilo utente consente di controllare:

Disponibilità del dispositivo: nonostante sia stato
consentito l'accesso all'utente, è necessario
convalidare il dispositivo tramite il quale si connette
alla rete. Nel caso in cui, ad esempio, l'utente utilizzi
le credenziali aziendali sul dispositivo personale, gli
access point possono sia limitare sia bloccare
l'accesso.

Assegnazione VLAN: per prevenire la creazione di
SSID multipli per ciascun reparto, tutti gli utenti
possono connettersi a un SSID singolo e, in base
all'identità, possono essere inseriti in VLAN separate
tramite il profilo utente.

Firewall e accesso alle applicazioni: è possibile
limitare l'accesso di utenti e dispositivi alle
applicazioni e a parti specifiche della rete utilizzando
i firewall integrati DPI Layer 2-7 all'interno degli
access point.

Accesso in base all'ora del giorno: limitate le ore del
giorno nelle quali determinati gruppi di utenti o
dispositivi possono accedere alla rete. Ad esempio,
ciò può essere utile per impedire l'accesso di utenti
ospiti al di fuori dell'orario di lavoro.

Accesso in base alla posizione: in alcuni casi, è
possibile che le organizzazioni scelgano di
impedire l'accesso mobile in aree a elevata sicurezza.

Allocazione della larghezza di banda (QoS): è possibile impostare livelli di prestazione minimi e massimi
per ogni utente, dispositivo o applicazione, impedendo ad esempio che i dispositivi BYOD visualizzino
video in streaming consumando larghezza di banda.

Tunnel policy: è possibile creare le policy del tunnel VPN o GRE per separare il traffico di utenti in una DMZ
isolata o in un'altra parte della rete; è una pratica di uso comune per le reti ospiti.

Registrazione del dispositivo: mentre il BYOD diventa sempre più diffuso, l'infrastruttura WLAN può integrarsi
concretamente con i server MDM e reindirizzare i dispositivi non registrati a una pagina di registrazione
dalla quale è possibile scaricare il profilo MDM. Finché non si installa il profilo, il dispositivo viene tenuto in
quarantena dagli access point.
Figura 5 - Esempio di profili con accesso basato
sul contesto
Le policy di accesso basato sul contesto garantiscono l'utilizzo della rete secondo quanto stabilito e consentono
di prevenire abusi. Tenete presente che senza identità (che è possibile ottenere tramite la fase di autenticazione),
la granularità delle policy sarà limitata. Ciascun fornitore offre diverse funzionalità di controllo, motivo per cui
occorre sia chiarire cosa è possibile realizzare e, allo stesso tempo, misurare la granularità delle policy di gestione.
In secondo luogo e in modo decisivo, vi invitiamo a comprendere quale funzionalità è inclusa nel controller (se
necessaria come parte della soluzione) o negli access point in modo nativo, nonché quale funzionalità richiede
licenze aggiuntive o ulteriori appliance software/hardware. L'osservanza di tali requisiti base durante la fase
iniziale garantirà una maggiore chiarezza dei costi oggi per evitare spiacevoli sorprese domani.
Copyright© 2017, Aerohive Networks, Inc.
GUIDA ALL'ACQUISTO WLAN 2017
15
Aumento della visibilità
Se decidete di implementare le soluzioni WLAN, in grado di fornire un
accesso alla rete basato sul contesto come già visto, siete sulla
buona strada per ottenere una rete protetta in modo idoneo. Uno
dei vantaggi dell'accesso basato sul contesto è la possibilità di
identificare chi o cosa si trova in rete; una volta acquisite tali
informazioni, non solo potete stabilire policy in base ai vostri requisiti,
ma potete inoltre aumentare la visibilità rispetto al modo in cui la
rete viene effettivamente utilizzata.
Una volta connessi alla rete, la WLAN consentirà di identificare e
tenere traccia di tutti gli utenti, i dispositivi e le applicazioni mobile.
Se si distribuisce una soluzione WLAN tramite una piattaforma di
gestione, diventa molto semplice monitorare l'attività della rete,
filtrare informazioni in base a SSID, posizione, policy di rete, gruppo di
access point e così via. Ciò consente agli amministratori di evitare
l'uso eccessivo delle reti, e in tal caso, di identificare le minacce e
modificare le policy di sicurezza in tal senso.
Sicurezza End-to-End
Dopo aver discusso di alcuni degli elementi principali per la vostra sicurezza WLAN, ci sono altri aspetti che
devono essere affrontati prima di scegliere la vostra soluzione WLAN.

Integrazione RADIUS/AD: per ottenere un'autenticazione 802.1X, è necessario rivolgersi a un'autorità di
certificazione (CA) e utilizzare un server RADIUS. Molte soluzioni WLAN offrono server RADIUS integrati,
eliminando l'esigenza di server aggiuntivi e consentendo l'integrazione diretta con l'AD, riducendo al
contempo le interruzioni durante le configurazioni di rete.

Firewall: per garantire la protezione sul perimetro della rete, spesso le soluzioni aziendali WLAN prevedono
l'implementazione di firewall app-aware completamente stateful direttamente all'interno degli access
point. Tuttavia, tali dispositivi non sostituiscono completamente un firewall dedicato all'interno della rete.

VPN: per i campus con telelavoratori o uffici remoti, gli access point che integrano funzionalità client e
server VPN offrono l'opportunità di estendere le policy di sicurezza WLAN anche alle postazioni remote.

WIPS: la possibilità di garantire la connessione alla rete solo agli utenti autorizzati dipende sia da metodi di
autenticazione idonei, sia da strumenti di monitoraggio attivo come la Wireless Intrusion Prevention (WIPS).
Le funzionalità WIPS consentono di rilevare in rete la presenza di minacce interne ed esterne e di avvisare
gli amministratori in caso di attacchi Denial of Service (DoS) o di client e access point inaffidabili. A sua
volta, l'amministratore può attivare manualmente o in modalità automatica dei metodi di protezione
dalle minacce, per contenere o eliminare la minaccia.
Grazie alla quantità di meccanismi di protezione utilizzati per controllare l'accesso alle reti previsto dalle soluzioni
moderne, oggi le WLAN sono in molti casi più sicure rispetto all'implementazione di molte reti cablate. Ciascuna
funzionalità affrontata in questa sezione vi garantisce la possibilità di distribuire in tutta sicurezza una rete wireless in
grado di supportare dispositivi aziendali, ospiti, BYOD e IoT senza il rischio di minacce.
Copyright© 2017, Aerohive Networks, Inc.
16
GUIDA ALL'ACQUISTO WLAN 2017
Coinvolgimento degli studenti
Il Wi-Fi sta offrendo un'opportunità unica, con un ritorno sugli investimenti senza precedenti, tramite informazioni,
dati e applicazioni. Le principali soluzioni WLAN stanno iniziando a sfruttare le soluzioni a livello di accesso e le
architetture cloud per dotare le scuole di maggiori livelli di valore aggiunto oltre alla connettività. Questa è una
nuova area da esplorare insieme ai fornitori, che richiede una riflessione al di là di aspetti quali velocità e feed.
Quando discutete delle soluzioni WLAN con i fornitori, dovreste iniziare a tralasciare le domande relative alla
velocità o alla semplicità di gestione, e orientarvi su quelle relative al valore aggiunto per l'ambiente di
apprendimento digitale.
Sempre più, le soluzioni WLAN sfruttano il proprio back-end cloud per analizzare i data point raccolti dai dispositivi
mobile connessi alla rete. Questi data point, combinati con una ricca gamma di API e applicazioni, consentono
alla vostra scuola di sfruttare nuove informazioni, caratterizzate da una vasta applicabilità. Oggi, il Wi-Fi può
essere adoperato per determinare l'utilizzo dello spazio nelle classi, ad esempio attraverso il rilevamento della
presenza di dispositivi, per aiutare a monitorare le percentuali di frequenza o la capienza dell'edificio.
Per aiutare gli insegnanti a mantenere l'ordine in classe, alcuni fornitori di soluzioni Wi-Fi offrono strumenti per la
gestione dei dispositivi in classe; in questo modo i notebook possono essere utilizzati per effettuare ricerche senza
il rischio di incappare in materiale illegale. È possibile creare applicazioni in-house in grado di sfruttare il Wi-Fi e la
connettività di rete per comunicare con il personale o i genitori in base alla posizione, creando importanti fonti di
coinvolgimento e nuove alternative ai metodi di comunicazione tradizionali.
Il Wi-Fi non si limita a garantire connettività, ma inizia a offrire molto di più. Cercate di individuarlo nelle offerte del
vostro fornitore per proteggere il vostro investimento.
Copyright© 2017, Aerohive Networks, Inc.
GUIDA ALL'ACQUISTO WLAN 2017
17
Riepilogo
Il Wi-Fi è una parte essenziale dell'esperienza di apprendimento digitale poiché offre una piattaforma per la
connettività. Senza la piattaforma appropriata, tutti i grandi investimenti in applicazioni e dispositivi mobile
non raggiungono il loro vero potenziale, in quanto rallentano a causa di una larghezza di banda limitata e di
una connettività di rete irregolare, con applicazioni basate sull'apprendimento che cercano di prevalere tra
torrent e video in streaming sui dispositivi personali degli studenti.
Oggi, per studiare le soluzioni di LAN wireless, non è più necessario utilizzare l'analizzatore di rete, ma è
sufficiente valutare il reale valore dell'offerta di ciascun fornitore. Naturalmente la capacità è importante,
ma lo è anche la garanzia che la vostra mobility platform possa essere introdotta in maniera semplice e
veloce; che i dispositivi personali, ospiti o di proprietà della scuola possano essere connessi in modo semplice
e sicuro; che la piattaforma possa crescere insieme a voi; che offra strumenti semplificati e immediati per la
risoluzione dei problemi; che possa gestire le anomalie senza bisogno di interventi e che possa sfruttare i dati
dei dispositivi e degli utenti connessi per offrire maggiore visibilità e coinvolgimento.
Utilizzate la checklist per la valutazione e il modello di RFP per assicurarvi che i fornitori stiano supportando le
vostre iniziative di apprendimento con reale valore oltre a velocità e feed, concentrando maggiormente
l'attenzione sull'esperienza di connettività del personale, degli studenti e degli ospiti e riducendo al tempo
stesso la complessità della gestione e del supporto delle impegnative reti mobile centric odierne.
Con l'infrastruttura appropriata, ogni access point può diventare un punto di partenza.
Copyright© 2017, Aerohive Networks, Inc.
18
GUIDA ALL'ACQUISTO WLAN 2017
Informazioni su Aerohive
Aerohive (NYSE: HIVE) consente ai suoi clienti di connettersi in modo semplice e sicuro alle informazioni, alle
applicazioni e ai dati di cui necessitano per arrivare al successo. La nostra piattaforma semplice, scalabile e
sicura offre mobilità senza limitazioni. Per i nostri oltre 20.000 clienti in tutto il mondo, ogni access point è un
punto di partenza. Aerohive è stata fondata nel 2006 e ha sede centrale a Milpitas, California. Per ulteriori
informazioni, visitate il sito www.aerohive.com, chiamateci al numero 408-510-6100, seguiteci su Twitter
@Aerohive, seguite il nostro blog, entrate a far parte della nostra community o diventate fan della nostra
pagina Facebook.
"Aerohive" è un marchio registrato di Aerohive Networks, Inc. Tutti i nomi di prodotti e società citati nel
presente documento sono marchi o marchi registrati dei rispettivi proprietari. Tutti i diritti riservati.
Sede centrale
Aerohive Networks
1011 McCarthy Boulevard
Milpitas, CA 95035
United States
Telefono: 1.408.510.6100
Numero verde: 1.866.918.9918
Fax: 408.510.6199
E-mail: [email protected]
www.aerohive.com
Copyright© 2017, Aerohive Networks, Inc.
Sede centrale internazionale
Aerohive Networks Europe LTD
The Courtyard
16-18 West Street
Surrey, UK GU9 7DR
+ 44 (0) 1252 736590
Fax: +44 (0) 1252711901