Projekt centralnie zarządzanej sieci WLAN dla dużej organizacji wieloodziałowej. Mateusz Grajewski Systems Engineer, CCIE R&S

Transkrypt

1 Projekt centralnie zarządzanej sieci WLAN dla dużej organizacji wieloodziałowej Mateusz Grajewski Systems Engineer, CCIE R&S

2 Unified Access Opcje wdrożeniowe Autonomiczny FlexConnect Scentralizowany Converged Access Gdzie/dla kogo? Autonomiczne punkty dostępowe Mała sieć bezprzewodowa Ruch lokalnie na AP Ruch scentralizowany na kontrolerze Ruch rozdystrybowany na przełącznikach Oddział Campus / Centrala Odział lub Campus / Centrala Decyzja zakupowa Tylko sieć bezprzewodowa Tylko sieć bezprzewodowa Tylko sieć bezprzewodowa Sieć przewodowa i bezprzewodowa Korzyści Proste oraz oszczędne rozwiązanie dla małych sieci Bardzo skalowalne, z ogromną ilością zdalnych oddziałów Proste zarządzanie siecią bezprzewodową z centralnego kontrolera w DC/chmurze Uproszczona eksploatacja oraz centralne zarządzanie Widoczność całości ruchu bezprzewodowego na kontrolerze Spójne zarządzanie, użytkowanie sieci przewodowej i bezprzewodowej Jeden punkt egzekwowania reguł Jeden system operacyjny (IOS) Widoczność ruchu w każdym punkcie Wydajność zoptymalizowana pod ac Na co zwrócić uwagę? Ograniczony RRM, brak wykrywania obcych/ wrogich sieci Roaming tylko L2 Wymagania na przepustowość oraz opóźnienie na Wydajność systemu Catalyst 3850/3650/4500 jako przełącznik dostępowy 2

3 Unified Access LAN & WLAN Unified Access One Management Cisco Prime Infrastructure One Policy Cisco ISE Distributed Wireless Centralized Wireless Si Si Traditional Access VSS Instant Access Si VSS Si Converged Access

4 Wdrożenia wielo-oddziałowe FlexConnect (HREAP) Architektura hybrydowa Jeden punkt zarządzania i kontroli Przełączanie ruchu danych Zcentralizowane (split MAC) lub Lokalne (local MAC) W awarii zachowany jedynie ruch lokalny Przełączanie ruchu definiowane per AP oraz per WLAN (SSID) Centralized Traffic Local Traffic Centralized Traffic Remote Office

5 FlexConnect: słowniczek Connected Mode Kiedy AP ma łączność z kontrolerem, kontroler zawiaduje operacjami AP i uwierzytelnianiem klientów Standalone Mode Kiedy AP nie może osiągnąć kontrolera, AP przechodzi w stan umożliwiający samodzielną obsługę klientów Local Switching Ruch danych jest przełączany do lokalnego VLANu dla danego SSID 5 Central Switching Ruch danych jest tunelowany do kontrolera dla danego SSID

6 Zagadnienia projektowe Wymagania na Deployment Type Bandwidth (Min) RTT Latency (Max) Max APs per Branch Max Clients per Branch Data 64 kbps 300 ms 5 25 Data 640 kbps 300 ms Data 1.44 Mbps 1 sec Data+Voice 128 kbps 100 ms 5 25 Data+Voice 1.44 Mbps 100 ms Monitor 64 kbps 2 sec 5 N/A Monitor 640 kbps 2 sec 50 N/A Rekomendowane jest by by minimalne pasmo per AP wynosiło 24 Kbps z czasem RTT nie większym niż 300 ms dla rucha data oraz 100 ms dla ruchu data + voice 6

7 FlexConnect ograniczenia Ograniczenia w trybie Standalone dla ruchu Local Switching MAC/Web Auth in Standalone Mode SXP TrustSec Application Visibility and Control Pojawiło się w 8.1 Service Discovery Gateway Native Profiling and Policy Classification Pełna lista «FlexConnect Feature Matrix» products_tech_note09186a0080b3690b.shtml 7

8 Funkcjonalności w kolejnych wersjach FlexConnect Features Release Version AAA-VLAN Override, ALCs & P2P Blocking 7.2 Smart AP Image Upgrade 7.2 External Web-Auth & Mobile Device On-boarding 7.2 Flex 7500 Scale Update 7.3 VLAN Based Central Switching 7.3 Split-tunneling 7.3 Work Group Bridge (WGB) Support 7.3 Bi-Directional Rate Limiting 7.4 ISE BYOD Registration & Provisioning 7.4 AAA-ACL & AAA-QoS Override 7.5 EAP-TLS & PEAP Support for Local Authentication 7.5 Ethernet Fallback 7.6 VideoStream for Local Switching 8.0 Faster time to deploy 8.0 FlexConnext on Mesh APs 8.0 AVC for FlexConnect 8.1 VLAN Name override for FlexConnect 8.1 8

9 Grupy AP, czyli AP Groups Definicja Grupa AP jest logicznym zespołem punktów o zbliżonej charakterystyce, w oparciu o np..: AP Group 1 Flex 7500 Lokalizację fizyczną Obsługiwane usługi (data, voice, guest, ) Takie same grupy muszą być zdefiniowane na wszystkich WLC w ramach grupy mobilnej Remote Site A Remote Site B AP Group 3 Scaling 7500/8500 CT-5508 WiSM-2 CT-2504 # AP Groups # WLAN (SSID) # VLAN (Interfaces) AP Group 2 9

10 Grupy AP - przykład SSID per lokalizacja Grupy AP dają możliwość aktywowania usług Wi-Fi (WLAN) w oparciu o lokalizację Guest-Access Corporate-Voice Corporate-Data AP Group Internet Corporate-Voice, Corporate-Data, Guest-Access Manufacturing Site Corporate-Voice, Corporate-Data, Scanners Store Corporate-Data, Guest-Access Scanners Manufacturing Site AP Group 2 Guest-Access Store AP Group 3 Corporate-Data 10

11 Grupy AP Mapowanie VLANów AP Group 1 Head Office Central Site VLAN- 1 AP Groupy dają możliwość statycznego przypisania WLANu do VLANu w oparciu o lokalizację VLAN- 2 VLAN- 3 Użytkownicy widzą te same usługi we wszystkich lokalizacjach Administrator może monitorować i filtrować w oparciu o podsieć/ip Można podobne rozgraniczenie robić dla mniejszych lokalizacji: np.: dla danego piętra w dużym budynku Corporate- Data AP Group 2 Manufacturing Site Corporate- Data /MAN AP Group 3 Store Corporate- Data 11

12 Grupy FlexConnect Definicja Flex 7500 Cluster Grupy FlexConnect pozwalają na współdzielenie między AP: Kluczy CCKM/OKC do roamingu Listy serwerów RADIUS i ich IP/kluczy Lokalnego uwierzytelniania EAP AAA-Override dla Local Switching Smart Image Upgrade FlexConnect AVC (8.1) Remote Site Remote Site Scaling Flex 7500/ 8500 CT-5508 WiSM2 CT-2504 FlexConnect Groups AP per Group FlexConnect Group 1 FlexConnect Group 2 12

13 Scenariusze awarii Awaria FlexConnect będzie działać dla local-switching Bez wpływu dla SSID lokalnie przełączanego Deaktywacja centralnie przełączanych SSID (deasocjacja klientów) Statyczne klucze autoryzacyjne lokalnie przechowywane Remote Site Tracimy RRM, WIDS, lokalizację, inne tryby AP Web authentication, NAC Application Server 13

14 Scenariusze awarii Awaria WLC z HA SSO Standby Active Działanie z HA: Bez wpływu dla lokalnie terminowanych SSID Rozłączenie klientów dla centralnie przełączanych SSID przy AP SSO Brak/minimalny wpływ dla centralnie przełączanych SSID przy Client SSO (software 7.5 oraz wyższy) AP nie przełączy się w tryb Standalone AP pozostanie w trybie Connected ze Standby WLC (które jest teraz Active WLC) Application Server Remote Office 14

15 Scenariusze awarii Lokalny serwer RADIUS Normalnie uwierzytelnianie jest realizowane centralnie Central RADIUS W przypadku awarii, AP uwierzytelnia nowych klientów do lokalnie zdefiniowanego serwera RADIUS Aktywne sesje działają bez przerw Local Backup RADIUS Remote Site Klienci mogą przełączać się w ramach grupy CCKM fast roaming reautentykacja CCKM Fast Roaming 15

16 Scenariusze awarii Lokalny RADIUS na AP Normalnie uwierzytelnianie jest realizowane centralnie W przypadku awarii, AP używa lokalnie zdefiniowanej bazy autoryzacyjnej Każdy AP z grupy posiada kopię bazy Aktywne sesje są utrzymywane Klienci mogą przełączać się w ramach grupy: CCKM fast roaming, lokalna reautentykacja Supported Security Types Release Version LEAP 6.0 EAP-FAST 6.0 PEAP 7.5 EAP-TLS 7.5 Central RADIUS Remote Site CCKM Fast Roaming FlexConnect Group 1 16

17 FlexConnect AAA VLAN Override Ogólne założenia RADIUS AAA VLAN Override with local or central authentication Do 16 VLANów per FlexConnect AP Jeżeli VLAN ID nie istnieje, wykorzystywany jest VLAN default, chyba, że włączone jest «VLAN Based Central Switching» Od 7.5 dostępne jest również AAA override dla QoS VLAN 3 VLAN QoS = 7 Silver QoS = Platinum Application Server Remote Site Dostępne od 7.2 FlexConnect Group 17

18 AVC dla Flexconnect AP Katana Gen2 AP Stanowe przeniesienie kontekstu między AP BRANCH Export Netflow z AP do WLC Informacja z ostatnich 90 sekund Gen2 AP Flow ID App Name Packets 1 WebEx Msft-Lync Skype 660 Dostępne w 8.1 NBAR2 (1000+ Applications) oraz Netflow bezpośrednio na AP Stanowe przeniesienie kontekstu wspierane również między grupami FlexConnect Export Netflow do Prime Infrastructure lub innego kolektora 18

19 AVC dla Flexconnect AP Funkcje AP Silnik NBAR2 na FlexConnect AP Protocol Pack 8.0 NBAR engine version 16 Wysyła flow co 90 sekund do WLC via Netflow Klasyfikacja i kontrola na AP Mark ( DSCP ) Drop Rate-limit Funkcje WLC Export informacji via Netflow Wspierane na wszystkich kontrolerach poza 2504 Wspierane na AP Generacji 2: 1600, 2600, 3600, 1700, 2700, 3700, 1532, 1570 Wspierane w trybie FlexConnect oraz Flex+bridge Dostępne w