Projekt centralnie zarządzanej sieci WLAN dla dużej organizacji wieloodziałowej

Mateusz Grajewski

Systems Engineer, CCIE R&S

Autonomiczny FlexConnect Scentralizowany Converged Access

Ruch  lokalnie  na  AP   Ruch  scentralizowany  na  kontrolerze  

Ruch  rozdystrybowany  na  przełącznikach  

Autonomiczne  punkty  dostępowe  

Gdzie/dla kogo?

Mała sieć bezprzewodowa Oddział Campus / Centrala Odział lub Campus / Centrala

Decyzja zakupowa

Tylko sieć bezprzewodowa Tylko sieć bezprzewodowa Tylko sieć bezprzewodowa Sieć przewodowa i bezprzewodowa

Korzyści

•  Proste oraz oszczędne rozwiązanie dla małych sieci

•  Bardzo skalowalne, z ogromną ilością zdalnych oddziałów

•  Proste zarządzanie siecią bezprzewodową z centralnego kontrolera w DC/chmurze

•  Uproszczona eksploatacja oraz centralne zarządzanie

•  Widoczność całości ruchu bezprzewodowego na kontrolerze

•  Spójne zarządzanie, użytkowanie sieci przewodowej i bezprzewodowej

•  Jeden punkt egzekwowania reguł •  Jeden system operacyjny (IOS) •  Widoczność ruchu w każdym punkcie •  Wydajność zoptymalizowana pod

802.11ac

Na co zwrócić uwagę ?

•  Ograniczony RRM, brak wykrywania obcych/”wrogich” sieci

•  Roaming tylko L2 •  Wymagania na przepustowość

oraz opóźnienie na WAN

•  Wydajność systemu •  Catalyst 3850/3650/4500 jako przełącznik dostępowy

WAN  

Unified Access – Opcje wdrożeniowe

2

Unified Access

Centralized Wireless

SiSi SiSi

Traditional Access Instant Access

VSS

Cisco Prime Infrastructure

One Management Cisco ISE One Policy

Distributed Wireless

Converged Access

SiSi SiSiVSS

MA#MA#MA#

MA#MA#MA#

MA#MA#MA#

MA#MA#MA#

MA#MA#MA#

MA#MA#MA#

Unified Access – LAN & WLAN

Wdrożenia wielo-oddziałowe

•  Architektura hybrydowa

•  Jeden punkt zarządzania i kontroli

•  Przełączanie ruchu danych •  Zcentralizowane

(split MAC) lub •  Lokalne (local MAC)

•  W awarii zachowany jedynie ruch lokalny

•  Przełączanie ruchu definiowane per AP oraz per WLAN (SSID)

FlexConnect (HREAP)

WAN

Central Site

Remote Office

Centralized Traffic

Centralized Traffic

Local Traffic

FlexConnect: słowniczek

5

Standalone Mode Kiedy AP nie może osiągnąć kontrolera, AP przechodzi w stan umożliwiający samodzielną obsługę klientów Local Switching Ruch danych jest przełączany do lokalnego VLANu dla danego SSID

Central Switching Ruch danych jest tunelowany do kontrolera dla danego SSID

Connected Mode Kiedy AP ma łączność z kontrolerem, kontroler zawiaduje operacjami AP i uwierzytelnianiem klientów

Zagadnienia projektowe Wymagania na WAN

Deployment Type

WAN Bandwidth (Min)

WAN RTT Latency (Max)

Max APs per Branch

Max Clients per Branch

Data 64 kbps 300 ms 5 25

Data 640 kbps 300 ms 50 1000

Data 1.44 Mbps 1 sec 50 1000

Data+Voice 128 kbps 100 ms 5 25

Data+Voice 1.44 Mbps 100 ms 50 1000

Monitor 64 kbps 2 sec 5 N/A

Monitor 640 kbps 2 sec 50 N/A

Rekomendowane jest by by minimalne pasmo per AP wynosiło 24 Kbps z czasem RTT nie większym niż 300 ms dla rucha „data” oraz 100 ms dla ruchu „data + voice”

6

FlexConnect ograniczenia

•  MAC/Web Auth in Standalone Mode •  SXP TrustSec •  Application Visibility and Control Pojawiło się w 8.1 •  Service Discovery Gateway •  Native Profiling and Policy Classification •  Pełna lista « FlexConnect Feature Matrix »

http://www.cisco.com/en/US/products/ps6366/products_tech_note09186a0080b3690b.shtml

Ograniczenia w trybie Standalone dla ruchu Local Switching

7

Funkcjonalności w kolejnych wersjach FlexConnect Features Release Version

AAA-VLAN Override, ALCs & P2P Blocking 7.2

Smart AP Image Upgrade 7.2

External Web-Auth & Mobile Device On-boarding 7.2

Flex 7500 Scale Update 7.3

VLAN Based Central Switching 7.3

Split-tunneling 7.3

Work Group Bridge (WGB) Support 7.3

Bi-Directional Rate Limiting 7.4

ISE BYOD Registration & Provisioning 7.4

AAA-ACL & AAA-QoS Override 7.5

EAP-TLS & PEAP Support for Local Authentication 7.5

Ethernet Fallback 7.6

VideoStream for Local Switching 8.0

Faster time to deploy 8.0

FlexConnext on Mesh APs 8.0

AVC for FlexConnect 8.1

VLAN Name override for FlexConnect 8.1

8

Grupy AP, czyli “AP Groups”

•  Grupa AP jest logicznym zespołem punktów o zbliżonej charakterystyce, w oparciu o np..: •  Lokalizację fizyczną •  Obsługiwane usługi

(data, voice, guest, …)

•  Takie same grupy muszą być zdefiniowane na wszystkich WLC w ramach grupy mobilnej

Definicja

Remote Site A Remote Site B

Central Site

WAN

AP Group 1

AP Group 2

AP Group 3

Flex 7500

Scaling 7500/8500 CT-5508 WiSM-2 CT-2504

# AP Groups 6000 500 1000 50

# WLAN (SSID) 512 512 512 16

# VLAN (Interfaces) 4095 512 512 16

9

Grupy AP - przykład

WAN

Central Site

Store Manufacturing Site

AP Group 2

AP Group 3

AP Group 1

Corporate-Voice

Guest-Access

Corporate-Data

Guest-Access Corporate-Data

@ Internet

Scanners

Grupy AP dają możliwość aktywowania usług Wi-Fi (WLAN) w oparciu o lokalizację

Central Site

Corporate-Voice, Corporate-Data, Guest-Access

Manufacturing Site Corporate-Voice, Corporate-Data, Scanners

Store Corporate-Data, Guest-Access

SSID per lokalizacja

10

Grupy AP

•  AP Groupy dają możliwość statycznego przypisania WLANu do VLANu w oparciu o lokalizację

•  Użytkownicy widzą te same usługi we wszystkich lokalizacjach

•  Administrator może monitorować i filtrować w oparciu o podsieć/IP

•  Można podobne rozgraniczenie robić dla mniejszych lokalizacji: np.: dla danego piętra w dużym budynku

Mapowanie VLANów

Corporate-­‐Data  

Corporate-­‐Data  

Corporate-­‐Data  

VLAN-­‐1  

VLAN-­‐2  

VLAN-­‐3  

Manufacturing  Site  

Store  

Central  Site  

   

WAN/MAN  

AP  Group  1  Head  Office  

AP  Group  2  

AP  Group  3  

11

Grupy FlexConnect

FlexConnect Group 1

Remote Site Remote Site WAN

Central Site

FlexConnect Group 2

Flex 7500 Cluster

Scaling Flex 7500/ 8500

CT-5508 WiSM2 CT-2504

FlexConnect Groups 2000 100 100 30

AP per Group 100 25 25 25

Grupy FlexConnect pozwalają na współdzielenie między AP:

•  Kluczy CCKM/OKC do roamingu •  Listy serwerów RADIUS i ich IP/kluczy •  Lokalnego uwierzytelniania EAP •  AAA-Override dla Local Switching •  Smart Image Upgrade •  FlexConnect AVC (8.1)

Definicja

12

Scenariusze awarii

•  FlexConnect będzie działać dla local-switching •  Bez wpływu dla SSID lokalnie przełączanego •  Deaktywacja centralnie przełączanych SSID

(deasocjacja klientów)

•  Statyczne klucze autoryzacyjne lokalnie przechowywane

•  Tracimy •  RRM, WIDS, lokalizację, inne tryby AP •  Web authentication, NAC

Awaria WAN

Remote Site

WAN

Central Site

Application Server

13

•  Działanie z HA: •  Bez wpływu dla lokalnie terminowanych SSID •  Rozłączenie klientów dla centralnie przełączanych SSID

przy AP SSO •  Brak/minimalny wpływ dla centralnie przełączanych SSID

przy Client SSO (software 7.5 oraz wyższy)

•  AP nie przełączy się w tryb Standalone

•  AP pozostanie w trybie Connected ze Standby WLC (które jest teraz Active WLC)

WAN

Application Server

Remote Office

Central Site Active

Standby Awaria WLC z HA SSO

Scenariusze awarii

14

•  Normalnie uwierzytelnianie jest realizowane centralnie

•  W przypadku awarii WAN, AP uwierzytelnia nowych klientów do lokalnie zdefiniowanego serwera RADIUS

•  Aktywne sesje działają bez przerw

•  Klienci mogą przełączać się w ramach grupy •  CCKM fast roaming •  reautentykacja

Remote Site

WAN

Central Site

Central RADIUS

Local Backup RADIUS

CCKM Fast Roaming

Lokalny serwer RADIUS

Scenariusze awarii

15

•  Normalnie uwierzytelnianie jest realizowane centralnie

•  W przypadku awarii WAN, AP używa lokalnie zdefiniowanej bazy autoryzacyjnej

•  Każdy AP z grupy posiada kopię bazy

•  Aktywne sesje są utrzymywane

•  Klienci mogą przełączać się w ramach grupy: •  CCKM fast roaming,

•  lokalna reautentykacja

Remote Site

WAN

Central Site

Central RADIUS

CCKM Fast Roaming

FlexConnect Group 1 Supported Security Types Release Version

LEAP 6.0 EAP-FAST 6.0

PEAP 7.5 EAP-TLS 7.5

Scenariusze awarii Lokalny RADIUS na AP

16

VLAN 7 QoS = Platinum

VLAN 3 QoS = Silver

FlexConnect AAA VLAN Override

•  AAA VLAN Override with local or central authentication

•  Do 16 VLANów per FlexConnect AP

•  Jeżeli VLAN ID nie istnieje, wykorzystywany jest VLAN default, chyba, że włączone jest «VLAN Based Central Switching»

•  Od 7.5 dostępne jest również AAA override dla QoS

Ogólne założenia

Remote Site

WAN

Central Site

FlexConnect Group

RADIUS

Application Server

Dostępne od 7.2

17

WAN

AVC dla Flexconnect AP Katana

Export Netflow z AP do WLC

NBAR2 (1000+ Applications) oraz Netflow bezpośrednio na AP Stanowe przeniesienie kontekstu wspierane również między grupami FlexConnect

Export Netflow do Prime Infrastructure lub innego

kolektora Flow ID App Name Packets

1 WebEx 1000

2 Msft-Lync 2300

3 Skype 660

Informacja z ostatnich 90 sekund

Gen2 AP

Stanowe przeniesienie kontekstu między AP

Gen2 AP

BRANCH

Dostępne w 8.1 18

•  Export informacji via Netflow •  Wspierane na wszystkich kontrolerach poza 2504 •  Wspierane na AP Generacji 2: 1600, 2600, 3600,

1700, 2700, 3700, 1532, 1570 •  Wspierane w trybie FlexConnect oraz Flex+bridge

Funkcje WLC •  Silnik NBAR2 na FlexConnect AP •  Protocol Pack 8.0 •  NBAR engine version 16 •  Wysyła flow co 90 sekund do WLC via Netflow •  Klasyfikacja i kontrola na AP

•  Mark ( DSCP ) •  Drop •  Rate-limit

Funkcje AP

Dostępne w 8.1

AVC dla Flexconnect AP

19