Projekt centralnie zarządzanej sieci WLAN dla dużej organizacji wieloodziałowej. Mateusz Grajewski Systems Engineer, CCIE R&S

Podobne dokumenty
AGENDA. Projekt centralnie zarządzanej sieci WLAN dla dużej organizacji wieloodziałowej - studium przypadku

Digital WorkPlace według Aruba Networks. Robert Miros Network Solution Architect

Minimum projektowania jeden kanał radiowy Szybki roaming 3 ms, bez zrywania sesji, połączeń VoIP Quality of Service już na poziomie interfejsu

Opis przedmiotu zamówienia CZĘŚĆ 16

Wprowadzenie do Cloud Networking. Czym jest Meraki i jak możemy pozycjonować Meraki?

DESIGNED FOR ALL-WIRELESS WORLD

Aktywne elementy bezpieczeństwa w sieciach WLAN. Krzysztof Lembas InŜynier Konsultant

Eduroam - swobodny dostęp do Internetu

Opis testu i instalacji na potrzeby usługi eduroam LANCOM WLC-4006

Uwierzytelnianie użytkowników sieci bezprzewodowej z wykorzystaniem serwera Radius (Windows 2008)

Windows Server Serwer RADIUS

Lp. Rodzaj sprzętu/oprogramowania Ilość 1 Punkty dostępowe 25 2 Kontroler sieci bezprzewodowej 1

Opis przedmiotu zamówienia

159,90 PLN brutto 130,00 PLN netto

Kompaktowy design Dzięki swoim rozmiarom, można korzystać z urządzenia gdzie tylko jest to konieczne.

Przełą. łączniki Ethernetowe

Jak skonfigurować bezpieczną sieć bezprzewodową w oparciu o serwer RADIUS i urządzenia ZyXEL wspierające standard 802.1x?

Migracja i wdrażanie Exchange Server 2010

Cisco 2000 Series WLAN Controller: 6 APs

Securing the Cloud Infrastructure

178,18 PLN brutto 144,86 PLN netto

Współpraca modułu Access Point SCALANCE W788-2PRO ze stacjami klienckimi Windows.

Budowa bezpiecznej sieci w małych jednostkach Artur Cieślik

WYMAGANE PARAMETRY TECHNICZNE OFEROWANEGO SPRZETU

Aktualizacja infrastruktury bezprzewodowej w firmie Cisco

Konfiguracja ustawień sieci w systemie Windows XP z użyciem oprogramowania Odyssey Client

Jak działa sieć WiFi? (WiFi how it works?)

Meru Partner Day /09/2012 Łukasz Naumowicz, Technical Support Manager

Metody uwierzytelniania klientów WLAN

Kontrola dostępu do sieci lokalnych (LAN)

Marek Pyka,PhD. Paulina Januszkiewicz

ZADANIE X. OPIS PRZEDMIOTU ZAMÓWIENIA w odniesieniu do zadania "wifi - dostawa i montaż systemu dostępu bezprzewodowego do sieci LAN i WAN

3 RAZY TAK Tomasz Busłowski Netformers Sp. z o.o.

Wirtualizacja sieci - VMware NSX

Zaawansowana konfiguracja przełącznika TP-Link TL-SG3224

Pytania od pierwszego z Wykonawców

Zadanie OUTSIDE /24. dmz. outside /24. security- level /16

2007 Cisco Systems, Inc. All rights reserved.

Przegląd rozwiązań mobilnych w świecie UC

155,35 PLN brutto 126,30 PLN netto

Switching czyli przełączanie. Sieci komputerowe Switching. Wstęp. Wstęp. Bridge HUB. Co to jest? Po co nam switching? Czym go zrealizować?

Załącznik nr 1 Specyfikacja wymagań. spełnia

Środowisko IEEE 802.1X określa się za pomocą trzech elementów:

Protokół 802.1x. Rys. Przykład wspólnego dla sieci przewodowej i bezprzewodowej systemu uwierzytelniania.

Architektura Cisco TrustSec

Mikrosegmentacja w sieciach kampusowych Temat slajdu. Aruba 360 Security Fabric

1. Zakres modernizacji Active Directory

ConnectAir Access Point 2.4/5.7GHz

Aktywne Rozwiązania Sieciowe

- RAPORT - Zastosowania, funkcjonowanie oraz specyfikacja techniczna produktów z serii Cisco Aironet pracujących w standardach IEEE 802.

PARAMETRY TECHNICZNE PRZEDMIOTU ZAMÓWIENIA. Nazwa i adres Wykonawcy:......

NIEUPOWAśNIONYM WSTĘP WZBRONIONY

Cisco and/or its affiliates. All rights reserved. Źródło:

Systemy Sieciowe. Katedra Informatyki Stosowanej, PŁ

Opis konfiguracji testowej sprzętu HP z serii 700wl

Dla przykładu, w instrukcji tej wykorzystano model TL-WA701ND.

VLAN 450 ( ( (5 450 (2.4 (2, SSID:

Opis testu i instalacji na potrzeby usługi eduroam

IEEE 2 19" " 10/100/ W 140 W

EWOLUCJA KOMUNIKACJI W SEKTORZE BEZPIECZEŃSTWA PUBLICZNEGO TETRA I LTE

Bezpiecznie i rozsądnie z Project Server 2013, czyli SharePoint Permission Mode vs Project Server Mode Bartłomiej Graczyk

MS OD Integrating MDM and Cloud Services with System Center Configuration Manager

98,00 PLN brutto 79,67 PLN netto

Sieci WiFi dla przedsiębiorstw

Wstęp... ix. 1 Omówienie systemu Microsoft Windows Small Business Server

INSTRUKCJA OBSŁUGI Program konfiguracji sieciowej Net configuration Drukarka A11

CENTRUM PRZETWARZANIA DANYCH MINISTERSTWA FINANSÓW Radom r.

300 ( ( (5 300 (2,4 - (2, SSID:

Dr Józef Oleszkiewicz. Kier. Sekcji Usług Sieciowo-Serwerowych Z-ca Kier. Działu Technologii Informacyjnej

Konfiguracja bezpiecznego tunelu IPSec VPN w oparciu o bramę ZyWall35 i klienta ZyXEL RSC (Remote Security Client).

802.11g: do 54Mbps (dynamic) b: do 11Mbps (dynamic)

Tryby pracy Access Pointa na przykładzie urządzenia TP-Link TL- WA500G

Instalacja Roli Remote Desktop Services dla systemów Windows Server 2012/2012 R2

WYMAGANIA SPRZĘTOWE DLA SIECI LAN W INFRASTRUKTURZE POCZTY POLSKIEJ

GS HP. 24-portowy zarządzalny przełącznik. Opis produktu. Charakterystyka produktu

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny

Migracja serwera Exchange 2003 do wersji Exchange 2010 poradnik

Kontrolery sieci bezprzewodowej Wysoce wydajne kontrolery sieci WLAN klasy Enterprise

Metodyka projektowania sieci bezprzewodowych

Szczegółowe minimalne wymagania dotyczące elementów składowych stanowiska.

PRZEDMIAR ROBÓT ROZBUDORWA SIECI LOGICZNEJ

PARAMETRY TECHNICZNE PRZEDMIOTU ZAMÓWIENIA

Konfiguracja własnego routera LAN/WLAN

Załącznik Nr 1 do SIWZ. URZĄDZENIA SYSTEMU SIECI BEZPRZEWODOWEJ Wi-Fi - OPIS. Instalacja Urządzeń i Sieci

SDA - integracja z rozwiązaniami Wireless

Ewolucja operatorów od dostawców bitów do dostawców usług

Protokół 802.1x. Środowisko IEEE 802.1x określa się za pomocą trzech elementów:

MX-One Nowoczesne rozwiązania IP

Siemens HiPath Wireless Controller

Instrukcja dotycząca funkcji zarządzania pasmem w urządzeniach serii Prestige 660HW.

Switche. Rozwiązania VLAN

Cisco Smart Business Communications przewodnik

Wireless Router Instrukcja instalacji. 1. Wskaźniki i złącza urządzenia...1

Księgarnia PWN: Greg Bastien, Christian Abera Degu Ściany ogniowe Cisco PIX

Bezprzewodowe punkty dostępowe Wysoce wydajne punkty dostępowe WLAN klasy Enterprise

TEST TANICH ROUTERÓW STANDARD N 300Mbps

Przewodnik konfiguracji Aruba WiFi oraz zabezpieczeń Palo Alto Networks w zakresie szczegółowej kontroli użytkowników sieci bezprzewodowej

Podziękowania... xv. Wstęp... xvii

Przełącznik dostępowy sieci LAN (przykładowe urządzenie spełniające wymagania: Cisco Catalyst WS PST-L IOS Lan Base):

Transkrypt:

Projekt centralnie zarządzanej sieci WLAN dla dużej organizacji wieloodziałowej Mateusz Grajewski Systems Engineer, CCIE R&S

Unified Access Opcje wdrożeniowe Autonomiczny FlexConnect Scentralizowany Converged Access Gdzie/dla kogo? Autonomiczne punkty dostępowe Mała sieć bezprzewodowa Ruch lokalnie na AP Ruch scentralizowany na kontrolerze Ruch rozdystrybowany na przełącznikach Oddział Campus / Centrala Odział lub Campus / Centrala Decyzja zakupowa Tylko sieć bezprzewodowa Tylko sieć bezprzewodowa Tylko sieć bezprzewodowa Sieć przewodowa i bezprzewodowa Korzyści Proste oraz oszczędne rozwiązanie dla małych sieci Bardzo skalowalne, z ogromną ilością zdalnych oddziałów Proste zarządzanie siecią bezprzewodową z centralnego kontrolera w DC/chmurze Uproszczona eksploatacja oraz centralne zarządzanie Widoczność całości ruchu bezprzewodowego na kontrolerze Spójne zarządzanie, użytkowanie sieci przewodowej i bezprzewodowej Jeden punkt egzekwowania reguł Jeden system operacyjny (IOS) Widoczność ruchu w każdym punkcie Wydajność zoptymalizowana pod 802.11ac Na co zwrócić uwagę? Ograniczony RRM, brak wykrywania obcych/ wrogich sieci Roaming tylko L2 Wymagania na przepustowość oraz opóźnienie na Wydajność systemu Catalyst 3850/3650/4500 jako przełącznik dostępowy 2

Unified Access LAN & WLAN Unified Access One Management Cisco Prime Infrastructure One Policy Cisco ISE Distributed Wireless Centralized Wireless Si Si Traditional Access VSS Instant Access Si VSS Si Converged Access

Wdrożenia wielo-oddziałowe FlexConnect (HREAP) Architektura hybrydowa Jeden punkt zarządzania i kontroli Przełączanie ruchu danych Zcentralizowane (split MAC) lub Lokalne (local MAC) W awarii zachowany jedynie ruch lokalny Przełączanie ruchu definiowane per AP oraz per WLAN (SSID) Centralized Traffic Local Traffic Centralized Traffic Remote Office

FlexConnect: słowniczek Connected Mode Kiedy AP ma łączność z kontrolerem, kontroler zawiaduje operacjami AP i uwierzytelnianiem klientów Standalone Mode Kiedy AP nie może osiągnąć kontrolera, AP przechodzi w stan umożliwiający samodzielną obsługę klientów Local Switching Ruch danych jest przełączany do lokalnego VLANu dla danego SSID 5 Central Switching Ruch danych jest tunelowany do kontrolera dla danego SSID

Zagadnienia projektowe Wymagania na Deployment Type Bandwidth (Min) RTT Latency (Max) Max APs per Branch Max Clients per Branch Data 64 kbps 300 ms 5 25 Data 640 kbps 300 ms 50 1000 Data 1.44 Mbps 1 sec 50 1000 Data+Voice 128 kbps 100 ms 5 25 Data+Voice 1.44 Mbps 100 ms 50 1000 Monitor 64 kbps 2 sec 5 N/A Monitor 640 kbps 2 sec 50 N/A Rekomendowane jest by by minimalne pasmo per AP wynosiło 24 Kbps z czasem RTT nie większym niż 300 ms dla rucha data oraz 100 ms dla ruchu data + voice 6

FlexConnect ograniczenia Ograniczenia w trybie Standalone dla ruchu Local Switching MAC/Web Auth in Standalone Mode SXP TrustSec Application Visibility and Control Pojawiło się w 8.1 Service Discovery Gateway Native Profiling and Policy Classification Pełna lista «FlexConnect Feature Matrix» http://www.cisco.com/en/us/products/ps6366/ products_tech_note09186a0080b3690b.shtml 7

Funkcjonalności w kolejnych wersjach FlexConnect Features Release Version AAA-VLAN Override, ALCs & P2P Blocking 7.2 Smart AP Image Upgrade 7.2 External Web-Auth & Mobile Device On-boarding 7.2 Flex 7500 Scale Update 7.3 VLAN Based Central Switching 7.3 Split-tunneling 7.3 Work Group Bridge (WGB) Support 7.3 Bi-Directional Rate Limiting 7.4 ISE BYOD Registration & Provisioning 7.4 AAA-ACL & AAA-QoS Override 7.5 EAP-TLS & PEAP Support for Local Authentication 7.5 Ethernet Fallback 7.6 VideoStream for Local Switching 8.0 Faster time to deploy 8.0 FlexConnext on Mesh APs 8.0 AVC for FlexConnect 8.1 VLAN Name override for FlexConnect 8.1 8

Grupy AP, czyli AP Groups Definicja Grupa AP jest logicznym zespołem punktów o zbliżonej charakterystyce, w oparciu o np..: AP Group 1 Flex 7500 Lokalizację fizyczną Obsługiwane usługi (data, voice, guest, ) Takie same grupy muszą być zdefiniowane na wszystkich WLC w ramach grupy mobilnej Remote Site A Remote Site B AP Group 3 Scaling 7500/8500 CT-5508 WiSM-2 CT-2504 # AP Groups 6000 500 1000 50 # WLAN (SSID) # VLAN (Interfaces) 512 512 512 16 4095 512 512 16 AP Group 2 9

Grupy AP - przykład SSID per lokalizacja Grupy AP dają możliwość aktywowania usług Wi-Fi (WLAN) w oparciu o lokalizację Guest-Access Corporate-Voice Corporate-Data AP Group 1 @ Internet Corporate-Voice, Corporate-Data, Guest-Access Manufacturing Site Corporate-Voice, Corporate-Data, Scanners Store Corporate-Data, Guest-Access Scanners Manufacturing Site AP Group 2 Guest-Access Store AP Group 3 Corporate-Data 10

Grupy AP Mapowanie VLANów AP Group 1 Head Office Central Site VLAN- 1 AP Groupy dają możliwość statycznego przypisania WLANu do VLANu w oparciu o lokalizację VLAN- 2 VLAN- 3 Użytkownicy widzą te same usługi we wszystkich lokalizacjach Administrator może monitorować i filtrować w oparciu o podsieć/ip Można podobne rozgraniczenie robić dla mniejszych lokalizacji: np.: dla danego piętra w dużym budynku Corporate- Data AP Group 2 Manufacturing Site Corporate- Data /MAN AP Group 3 Store Corporate- Data 11

Grupy FlexConnect Definicja Flex 7500 Cluster Grupy FlexConnect pozwalają na współdzielenie między AP: Kluczy CCKM/OKC do roamingu Listy serwerów RADIUS i ich IP/kluczy Lokalnego uwierzytelniania EAP AAA-Override dla Local Switching Smart Image Upgrade FlexConnect AVC (8.1) Remote Site Remote Site Scaling Flex 7500/ 8500 CT-5508 WiSM2 CT-2504 FlexConnect Groups 2000 100 100 30 AP per Group 100 25 25 25 FlexConnect Group 1 FlexConnect Group 2 12

Scenariusze awarii Awaria FlexConnect będzie działać dla local-switching Bez wpływu dla SSID lokalnie przełączanego Deaktywacja centralnie przełączanych SSID (deasocjacja klientów) Statyczne klucze autoryzacyjne lokalnie przechowywane Remote Site Tracimy RRM, WIDS, lokalizację, inne tryby AP Web authentication, NAC Application Server 13

Scenariusze awarii Awaria WLC z HA SSO Standby Active Działanie z HA: Bez wpływu dla lokalnie terminowanych SSID Rozłączenie klientów dla centralnie przełączanych SSID przy AP SSO Brak/minimalny wpływ dla centralnie przełączanych SSID przy Client SSO (software 7.5 oraz wyższy) AP nie przełączy się w tryb Standalone AP pozostanie w trybie Connected ze Standby WLC (które jest teraz Active WLC) Application Server Remote Office 14

Scenariusze awarii Lokalny serwer RADIUS Normalnie uwierzytelnianie jest realizowane centralnie Central RADIUS W przypadku awarii, AP uwierzytelnia nowych klientów do lokalnie zdefiniowanego serwera RADIUS Aktywne sesje działają bez przerw Local Backup RADIUS Remote Site Klienci mogą przełączać się w ramach grupy CCKM fast roaming reautentykacja CCKM Fast Roaming 15

Scenariusze awarii Lokalny RADIUS na AP Normalnie uwierzytelnianie jest realizowane centralnie W przypadku awarii, AP używa lokalnie zdefiniowanej bazy autoryzacyjnej Każdy AP z grupy posiada kopię bazy Aktywne sesje są utrzymywane Klienci mogą przełączać się w ramach grupy: CCKM fast roaming, lokalna reautentykacja Supported Security Types Release Version LEAP 6.0 EAP-FAST 6.0 PEAP 7.5 EAP-TLS 7.5 Central RADIUS Remote Site CCKM Fast Roaming FlexConnect Group 1 16

FlexConnect AAA VLAN Override Ogólne założenia RADIUS AAA VLAN Override with local or central authentication Do 16 VLANów per FlexConnect AP Jeżeli VLAN ID nie istnieje, wykorzystywany jest VLAN default, chyba, że włączone jest «VLAN Based Central Switching» Od 7.5 dostępne jest również AAA override dla QoS VLAN 3 VLAN QoS = 7 Silver QoS = Platinum Application Server Remote Site Dostępne od 7.2 FlexConnect Group 17

AVC dla Flexconnect AP Katana Gen2 AP Stanowe przeniesienie kontekstu między AP BRANCH Export Netflow z AP do WLC Informacja z ostatnich 90 sekund Gen2 AP Flow ID App Name Packets 1 WebEx 1000 2 Msft-Lync 2300 3 Skype 660 Dostępne w 8.1 NBAR2 (1000+ Applications) oraz Netflow bezpośrednio na AP Stanowe przeniesienie kontekstu wspierane również między grupami FlexConnect Export Netflow do Prime Infrastructure lub innego kolektora 18

AVC dla Flexconnect AP Funkcje AP Silnik NBAR2 na FlexConnect AP Protocol Pack 8.0 NBAR engine version 16 Wysyła flow co 90 sekund do WLC via Netflow Klasyfikacja i kontrola na AP Mark ( DSCP ) Drop Rate-limit Funkcje WLC Export informacji via Netflow Wspierane na wszystkich kontrolerach poza 2504 Wspierane na AP Generacji 2: 1600, 2600, 3600, 1700, 2700, 3700, 1532, 1570 Wspierane w trybie FlexConnect oraz Flex+bridge Dostępne w 8.1 19

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres