Projekt centralnie zarządzanej sieci WLAN dla dużej organizacji · 2015. 5. 27. · Projekt...
Transcript of Projekt centralnie zarządzanej sieci WLAN dla dużej organizacji · 2015. 5. 27. · Projekt...
Projekt centralnie zarządzanej sieci WLAN dla dużej organizacji wieloodziałowej
Mateusz Grajewski
Systems Engineer, CCIE R&S
Autonomiczny FlexConnect Scentralizowany Converged Access
Ruch lokalnie na AP Ruch scentralizowany na kontrolerze
Ruch rozdystrybowany na przełącznikach
Autonomiczne punkty dostępowe
Gdzie/dla kogo?
Mała sieć bezprzewodowa Oddział Campus / Centrala Odział lub Campus / Centrala
Decyzja zakupowa
Tylko sieć bezprzewodowa Tylko sieć bezprzewodowa Tylko sieć bezprzewodowa Sieć przewodowa i bezprzewodowa
Korzyści
• Proste oraz oszczędne rozwiązanie dla małych sieci
• Bardzo skalowalne, z ogromną ilością zdalnych oddziałów
• Proste zarządzanie siecią bezprzewodową z centralnego kontrolera w DC/chmurze
• Uproszczona eksploatacja oraz centralne zarządzanie
• Widoczność całości ruchu bezprzewodowego na kontrolerze
• Spójne zarządzanie, użytkowanie sieci przewodowej i bezprzewodowej
• Jeden punkt egzekwowania reguł • Jeden system operacyjny (IOS) • Widoczność ruchu w każdym punkcie • Wydajność zoptymalizowana pod
802.11ac
Na co zwrócić uwagę ?
• Ograniczony RRM, brak wykrywania obcych/”wrogich” sieci
• Roaming tylko L2 • Wymagania na przepustowość
oraz opóźnienie na WAN
• Wydajność systemu • Catalyst 3850/3650/4500 jako przełącznik dostępowy
WAN
Unified Access – Opcje wdrożeniowe
2
Unified Access
Centralized Wireless
SiSi SiSi
Traditional Access Instant Access
VSS
Cisco Prime Infrastructure
One Management Cisco ISE One Policy
Distributed Wireless
Converged Access
SiSi SiSiVSS
MA#MA#MA#
MA#MA#MA#
MA#MA#MA#
MA#MA#MA#
MA#MA#MA#
MA#MA#MA#
Unified Access – LAN & WLAN
Wdrożenia wielo-oddziałowe
• Architektura hybrydowa
• Jeden punkt zarządzania i kontroli
• Przełączanie ruchu danych • Zcentralizowane
(split MAC) lub • Lokalne (local MAC)
• W awarii zachowany jedynie ruch lokalny
• Przełączanie ruchu definiowane per AP oraz per WLAN (SSID)
FlexConnect (HREAP)
WAN
Central Site
Remote Office
Centralized Traffic
Centralized Traffic
Local Traffic
FlexConnect: słowniczek
5
Standalone Mode Kiedy AP nie może osiągnąć kontrolera, AP przechodzi w stan umożliwiający samodzielną obsługę klientów Local Switching Ruch danych jest przełączany do lokalnego VLANu dla danego SSID
Central Switching Ruch danych jest tunelowany do kontrolera dla danego SSID
Connected Mode Kiedy AP ma łączność z kontrolerem, kontroler zawiaduje operacjami AP i uwierzytelnianiem klientów
Zagadnienia projektowe Wymagania na WAN
Deployment Type
WAN Bandwidth (Min)
WAN RTT Latency (Max)
Max APs per Branch
Max Clients per Branch
Data 64 kbps 300 ms 5 25
Data 640 kbps 300 ms 50 1000
Data 1.44 Mbps 1 sec 50 1000
Data+Voice 128 kbps 100 ms 5 25
Data+Voice 1.44 Mbps 100 ms 50 1000
Monitor 64 kbps 2 sec 5 N/A
Monitor 640 kbps 2 sec 50 N/A
Rekomendowane jest by by minimalne pasmo per AP wynosiło 24 Kbps z czasem RTT nie większym niż 300 ms dla rucha „data” oraz 100 ms dla ruchu „data + voice”
6
FlexConnect ograniczenia
• MAC/Web Auth in Standalone Mode • SXP TrustSec • Application Visibility and Control Pojawiło się w 8.1 • Service Discovery Gateway • Native Profiling and Policy Classification • Pełna lista « FlexConnect Feature Matrix »
http://www.cisco.com/en/US/products/ps6366/products_tech_note09186a0080b3690b.shtml
Ograniczenia w trybie Standalone dla ruchu Local Switching
7
Funkcjonalności w kolejnych wersjach FlexConnect Features Release Version
AAA-VLAN Override, ALCs & P2P Blocking 7.2
Smart AP Image Upgrade 7.2
External Web-Auth & Mobile Device On-boarding 7.2
Flex 7500 Scale Update 7.3
VLAN Based Central Switching 7.3
Split-tunneling 7.3
Work Group Bridge (WGB) Support 7.3
Bi-Directional Rate Limiting 7.4
ISE BYOD Registration & Provisioning 7.4
AAA-ACL & AAA-QoS Override 7.5
EAP-TLS & PEAP Support for Local Authentication 7.5
Ethernet Fallback 7.6
VideoStream for Local Switching 8.0
Faster time to deploy 8.0
FlexConnext on Mesh APs 8.0
AVC for FlexConnect 8.1
VLAN Name override for FlexConnect 8.1
8
Grupy AP, czyli “AP Groups”
• Grupa AP jest logicznym zespołem punktów o zbliżonej charakterystyce, w oparciu o np..: • Lokalizację fizyczną • Obsługiwane usługi
(data, voice, guest, …)
• Takie same grupy muszą być zdefiniowane na wszystkich WLC w ramach grupy mobilnej
Definicja
Remote Site A Remote Site B
Central Site
WAN
AP Group 1
AP Group 2
AP Group 3
Flex 7500
Scaling 7500/8500 CT-5508 WiSM-2 CT-2504
# AP Groups 6000 500 1000 50
# WLAN (SSID) 512 512 512 16
# VLAN (Interfaces) 4095 512 512 16
9
Grupy AP - przykład
WAN
Central Site
Store Manufacturing Site
AP Group 2
AP Group 3
AP Group 1
Corporate-Voice
Guest-Access
Corporate-Data
Guest-Access Corporate-Data
@ Internet
Scanners
Grupy AP dają możliwość aktywowania usług Wi-Fi (WLAN) w oparciu o lokalizację
Central Site
Corporate-Voice, Corporate-Data, Guest-Access
Manufacturing Site Corporate-Voice, Corporate-Data, Scanners
Store Corporate-Data, Guest-Access
SSID per lokalizacja
10
Grupy AP
• AP Groupy dają możliwość statycznego przypisania WLANu do VLANu w oparciu o lokalizację
• Użytkownicy widzą te same usługi we wszystkich lokalizacjach
• Administrator może monitorować i filtrować w oparciu o podsieć/IP
• Można podobne rozgraniczenie robić dla mniejszych lokalizacji: np.: dla danego piętra w dużym budynku
Mapowanie VLANów
Corporate-‐Data
Corporate-‐Data
Corporate-‐Data
VLAN-‐1
VLAN-‐2
VLAN-‐3
Manufacturing Site
Store
Central Site
WAN/MAN
AP Group 1 Head Office
AP Group 2
AP Group 3
11
Grupy FlexConnect
FlexConnect Group 1
Remote Site Remote Site WAN
Central Site
FlexConnect Group 2
Flex 7500 Cluster
Scaling Flex 7500/ 8500
CT-5508 WiSM2 CT-2504
FlexConnect Groups 2000 100 100 30
AP per Group 100 25 25 25
Grupy FlexConnect pozwalają na współdzielenie między AP:
• Kluczy CCKM/OKC do roamingu • Listy serwerów RADIUS i ich IP/kluczy • Lokalnego uwierzytelniania EAP • AAA-Override dla Local Switching • Smart Image Upgrade • FlexConnect AVC (8.1)
Definicja
12
Scenariusze awarii
• FlexConnect będzie działać dla local-switching • Bez wpływu dla SSID lokalnie przełączanego • Deaktywacja centralnie przełączanych SSID
(deasocjacja klientów)
• Statyczne klucze autoryzacyjne lokalnie przechowywane
• Tracimy • RRM, WIDS, lokalizację, inne tryby AP • Web authentication, NAC
Awaria WAN
Remote Site
WAN
Central Site
Application Server
13
• Działanie z HA: • Bez wpływu dla lokalnie terminowanych SSID • Rozłączenie klientów dla centralnie przełączanych SSID
przy AP SSO • Brak/minimalny wpływ dla centralnie przełączanych SSID
przy Client SSO (software 7.5 oraz wyższy)
• AP nie przełączy się w tryb Standalone
• AP pozostanie w trybie Connected ze Standby WLC (które jest teraz Active WLC)
WAN
Application Server
Remote Office
Central Site Active
Standby Awaria WLC z HA SSO
Scenariusze awarii
14
• Normalnie uwierzytelnianie jest realizowane centralnie
• W przypadku awarii WAN, AP uwierzytelnia nowych klientów do lokalnie zdefiniowanego serwera RADIUS
• Aktywne sesje działają bez przerw
• Klienci mogą przełączać się w ramach grupy • CCKM fast roaming • reautentykacja
Remote Site
WAN
Central Site
Central RADIUS
Local Backup RADIUS
CCKM Fast Roaming
Lokalny serwer RADIUS
Scenariusze awarii
15
• Normalnie uwierzytelnianie jest realizowane centralnie
• W przypadku awarii WAN, AP używa lokalnie zdefiniowanej bazy autoryzacyjnej
• Każdy AP z grupy posiada kopię bazy
• Aktywne sesje są utrzymywane
• Klienci mogą przełączać się w ramach grupy: • CCKM fast roaming,
• lokalna reautentykacja
Remote Site
WAN
Central Site
Central RADIUS
CCKM Fast Roaming
FlexConnect Group 1 Supported Security Types Release Version
LEAP 6.0 EAP-FAST 6.0
PEAP 7.5 EAP-TLS 7.5
Scenariusze awarii Lokalny RADIUS na AP
16
VLAN 7 QoS = Platinum
VLAN 3 QoS = Silver
FlexConnect AAA VLAN Override
• AAA VLAN Override with local or central authentication
• Do 16 VLANów per FlexConnect AP
• Jeżeli VLAN ID nie istnieje, wykorzystywany jest VLAN default, chyba, że włączone jest «VLAN Based Central Switching»
• Od 7.5 dostępne jest również AAA override dla QoS
Ogólne założenia
Remote Site
WAN
Central Site
FlexConnect Group
RADIUS
Application Server
Dostępne od 7.2
17
WAN
AVC dla Flexconnect AP Katana
Export Netflow z AP do WLC
NBAR2 (1000+ Applications) oraz Netflow bezpośrednio na AP Stanowe przeniesienie kontekstu wspierane również między grupami FlexConnect
Export Netflow do Prime Infrastructure lub innego
kolektora Flow ID App Name Packets
1 WebEx 1000
2 Msft-Lync 2300
3 Skype 660
Informacja z ostatnich 90 sekund
Gen2 AP
Stanowe przeniesienie kontekstu między AP
Gen2 AP
BRANCH
Dostępne w 8.1 18
• Export informacji via Netflow • Wspierane na wszystkich kontrolerach poza 2504 • Wspierane na AP Generacji 2: 1600, 2600, 3600,
1700, 2700, 3700, 1532, 1570 • Wspierane w trybie FlexConnect oraz Flex+bridge
Funkcje WLC • Silnik NBAR2 na FlexConnect AP • Protocol Pack 8.0 • NBAR engine version 16 • Wysyła flow co 90 sekund do WLC via Netflow • Klasyfikacja i kontrola na AP
• Mark ( DSCP ) • Drop • Rate-limit
Funkcje AP
Dostępne w 8.1
AVC dla Flexconnect AP
19