SDA - integracja z rozwiązaniami Wireless

SDA - integracja z rozwiązaniami Wireless Mateusz Grajewski onsulting Systems Engineer, IE R&S

Klasyczna sieć bezprzewodowa - Zalety ISE / AD Uproszczone zarządzanie? Kontroler WL APWAP (ontrol) APWAP (Data) Sieć nakładkowa? APWAP Roaming L3? Kontroler jako Mobility Anchor Uproszczona adresacja IP? Kontroler jako Mobility Anchor Segmentacja ruchu gościnnego? Foreign-Anchor 3

Klasyczna sieć przewodowa Zalety ISE / AD Segmentacja? VRF-Lite, MPLS Złożone AL? Skalowane TAM Rozproszony Data Plane? Skalowalny i wysoko dostępny Rozproszone funkcje? AV, NetFlow Zróżnicowany QoS? 12-klas, kolejkowanie 4

SD-Access Wireless łączy najlepsze z obu światów 5

Architektura SD-Access Wireless

Architektura SD-Access Terminologia i reguły Group Repository Fabric order Intermediate Nodes (Underlay) Fabric Edge Nodes ISE / AD SD-Access Fabric DNA ontroller Fabric Mode WL ontrol-plane Nodes Fabric Mode APs DNA ontroller Kontroler SDN, posiada GUI, pozwala na zarządzanie przez różne aplikacje, które współdzielą informacje Group Repository Zewnętrzne usługi ID (np. ISE) wykorzystywane do mapowania użytkowników/urządzeń do grup oraz definicję polityk bezpieczeństwa ontrol-plane (P) Node System mapowania, który zarządza relacją Endpoint ID do Location. Inna nazwa to: Host Tracking D (HTD) order Nodes Urządzenie w Fabric (np.: ore), które łączy Zewnętrzne sieci L3 do SDA Fabric Edge Nodes Urządzenie w Fabric (np. Access lub Distribution), które łączy urządzenia końcowe do SDA Fabric Fabric Wireless ontroller Kontroler sieci WLAN pracujący w Fabric, uczestniczy w LISP ontrol Plane Fabric Mode APs AP pracujące w Fabric. Ruch bezprzewodowy jest enkapsulowany w VXLAN na AP 7

Architektura SD-Access Wireless Łączy najlepsze z obu światów przez: 1 Uproszczenie ontrol & Management Plane 2 Optymalizacja Data Plane 3 Integracja polityk bezpieczeństwa oraz segmentacja E2E 8

Architaktura SD-Access Wireless Uproszczenie ontrol Plane APWAP ntrl plane LISP ntrl plane ISE / AD DNA Policy Abstraction and onfiguration Automation WL Fabric enabled WL: WL is part of LISP control plane 1 Automation DNA simplifies the Fabric deployment, Including the wireless integration component entralized Wireless ontrol Plane WL still provides client session management AP Mgmt, Mobility, RRM, etc. Same operational advantages of UWN SD-Access Fabric LISP control plane Management WL integrates with LISP control plane WL updates the P for wireless clients Mobility is integrated in Fabric thanks to LISP P 9

Architektura SD-Access Wireless ontrol Plane 1 Fabric ontrol-plane Node bazuje na LISP Map Server / Resolver Utrzymuje LISP Endpoint ID Database co zapewnia łączność w Overlay Host Database utrzymuje mapowania Endpoint ID do Edge Node (RLO) EID VNI RLO 10.1.1.20 10 192.168.1.1 P Host Database wspiera wiele typów Endpoint ID (EID), takich jak: IPv4 /32, IPv6 /128* lub MA/48 Otrzymuje informacje o prefixach od Edge Node dla klientów wired oraz od WL dla klientów wireless Rozwiązuje lookup request od FE by zlokalizować położenie hostów/endpointów 192.168.1.1 Informuje Fabric Edge oraz order Node o hostach/endpointach oraz ich RLO FE1 10.1.1.20 (*) po FS 10

Architektura SD-Access Wireless ontrol Plane 1 Fabric Mode WL integruje się z LISP ontrol Plane ontrol Plane jest zcentralizowany na kontrolerze dla wszystkich usług Wireless WL jest odpowiedzialny za: AP image/config, Radio Resource Management (RRM) oraz zarządzanie sesją klientów i roaming EID VNI RLO ab:12:cd:34:2f.56 10 192.168.1.1 Integracja z Fabric: Dla Wireless: MA address klienta jest wykorzystywany jako EID. Współpracuje z Host Tracking D na ontrol-plane Node by rejestrować lient MA address z SGT oraz L2 VNI Informacja o VN to Layer 2 VN (L2 VNID) i jest mapowany do VLAN na FE Odpowiada za aktualizację Host Tracking D o informację o roamingu klientów bezprzewodowych WL(Fabric-enabled) musi być kolokowany z AP FE1 192.168.2.1 ab:12:cd:34:2f.56 11

Architektura SD-Access Wireless Optymalizacja Data Plane APWAP ntrl plane LISP ntrl plane VXLAN Data plane ISE / AD DNA SD-Access Fabric Policy Abstraction and onfiguration Automation VXLAN (Data Plane) WL Fabric enabled WL: WL is part of LISP control plane Fabric enabled AP: AP encapsulates Fabric SSID traffic in VXLAN 2 Automation DNA simplifies the Fabric deployment, Including the wireless integration component entralized Wireless ontrol Plane WL still provides client session management AP Mgmt, Mobility, RRM, etc. Same operational advantages of UWN LISP control plane Management WL integrates with LISP control plane WL updates the P for wireless clients Mobility is integrated in Fabric thanks to LISP P Optimized Distributed Data Plane Fabric overlay with Anycast GW + Stretched subnet VLAN extension with no complications All roaming are Layer 2 VXLAN from the AP arrying hierarchical policy segmentation starting from the edge of the network 12

Architektura SD-Access Wireless Optymalizacja Data Plane: Fabric Edge 2 Fabric Edge Node bazuje na LISP Tunnel Router Zapewnia łączność dla użytkowników i urządzeń podłączonych do Fabric Odpowiedzialny za identyfikację i uwierzytelnianie klientów przewodowych Rejestruje informacje o Endpoint ID (adres IP) do ontrol- Plane Node/ów Zapewnia usługi VN dla klientów bezprzewodowych Podłącza AP do Fabric oraz tworzy tunele VXLAN z AP Zapewnia usługę Anycast L3 Gateway dla podłączonych klientów Fabric Edge (FE) 13

Architektura SD-Access Wireless Optymalizacja Data Plane: Anycast Gateway 2 Anycast GW zapewnia pojedynczy L3 Default Gateway azuje na Virtual IP address (VIP) Podobne zachowanie i funkcja jak HSRP / VRRP ze współdzielonym Virtual IP oraz adresem MA Ten sam Switched Virtual Interface (SVI) znajduje się na każdym Edge, z tym samym Virtual IP oraz adresem MA Jeżeli (kiedy) Host przełącza się między Edge A a Edge, nie musi zmieniać swojej bramy domyślnej (L3) Default Gateway IP 10.1.1.1 MA ab:12:cd:34:ef:56 FE A FE GW 10.1.1.1 GW 10.1.1.1 GW 10.1.1.10 10.1.1.10 14

Architektura SD-Access Wireless Optymalizacja Data Plane: Stretched subnets 2 Fabric Mode AP integruje się z VXLAN Data Plane Data Plane sieci bezprzewodowej jest rozproszony na wszystkie AP Fabric mode AP to AP w trybie local-mode i musi być bezpośrednio podłączony do FE APWAP control plane łączy się z WL wykorzystując Fabric Fabric uruchamia się per SSID: Dla SSID pracujących w Fabric-mode, AP konwertuje ruch 802.11 na 802.3 i enkapsuluje w VXLAN zachowując info o VNI oraz SGT od klienta Przekazuje ruch klienta bazując na tablicy (forwarding table) zgodnie z WL. Zwykle VXLAN DST jest na first hop switch. AP nakłada wszystkie ustawienia sieci bezprzewodowej: polityki SSID, AV, QoS, itd. VXLAN (Data) APWAP ontrol plane 15

Architektura SD-Access Wireless Uproszczenie polityk bezpieczeństwa i segmentacja 3 VXLAN (Data) FE A SD Fabric FE IP payload IP 802.11 1 AP removes the 802.11 header EID IP payload 802.3 IP VXLAN UDP underlay IP 2 AP adds the 802.3/VXLAN/underlay IP header 16

Architektura SD-Access Wireless Uproszczenie polityk bezpieczeństwa i segmentacja 3 VXLAN (Data) FE A SD Fabric FE R lient SGT lient VRF R EID IP payload 802.3 IP VXLAN UDP underlay IP Hierarchical Segmentation: 1. Virtual Network (VN) == VRF - isolated ontrol Plane + Data Plane 2. Scalable Group Tag (SGT) User Group identifier 2 APs embed the Policy information in the VXLAN header and forwards it 17

Architektura SD-Access Wireless Uproszczenie polityk bezpieczeństwa i segmentacja 3 VXLAN (Data) FE A SD Fabric FE lient is placed in the right VRF EID IP payload 802.3 IP VXLAN UDP underlay IP 3 FE removes the outer IP header, looks at the L2 VNID and maps it to the VLAN and L2 LISP instance. Then encapsulates to the destination FE 18

Architektura SD-Access Wireless Uproszczenie polityk bezpieczeństwa i segmentacja 3 VXLAN (Data) FE A SD Fabric FE SGT policy is applied lient Policy is carried end to end in the overlay EID IP payload 802.3 IP VXLAN UDP underlay IP 4 FE removes the outer IP header, looks at the L2 VNID maps it to the VLAN. Also looks at the SGT and apply the policy before forwarding the packet 19

Produkty na które składa się SDA Wireless

SD-Access Fabric Wireless Wspierane platformy 3504 WL NEW 5520 WL 8540 WL Wave 2 APs *z ograniczeniami Wave 1 APs AIR-T3504 1G/mGig AireOS 8.5+ AIR-T5520 No 5508 1G/10G SFP+ AireOS 8.5+ AIR-T8540 8510 supported 1G/10G SFP+ AireOS 8.5+ 1800/2800/3800 11ac Wave2 APs 1G/MGIG RJ45 AireOS 8.5+ 1700/2700/3700 11ac Wave1 APs* 1G RJ45 AireOS 8.5+ 21

SD-Access Wireless w przykładach

SD-Access Wireless podstawowe mechanizmy Dodanie WL do Fabric FE1 DNA 1 SDA Fabric 2 Fabric WL 1 W GUI DNA-, dodaj WL do Fabric Domain 2 Konfiguracja Fabric jest wgrywana na WL. WL zaczyna komunikować się z Fabric. WL nawiązuje bezpieczne połączenie z P z wykorzystaniem odpowiedniego klucza 3 WL jest gotowy do pracy w architekturze SD-Access Wireless 23

SD-Access Wireless podstawowe mechanizmy Podłączenie AP (AP join) DP FE1 IP Network 2 1 DNA AP jest bezpośrednio podłączony Fabric WL 1 2 3 Użytkownik konfiguruje pulę adresów dla AP w DNA-. DNA- tworzy makro konfiguracyjne na wszystkich FE AP jest podłączony i pobiera zasilanie. FE wykrywa AP za pomocą DP i uruchamia makro na porcie przełącznika, wstawiając AP w odpowiedni VLAN AP otrzymuje adres IP z DHP. AP jest rejestrowany jako specjalny host przewodowy do Fabric 24

SD-Access Wireless podstawowe mechanizmy Podłączenie AP (AP join) FE1 2 APWAP in VXLAN SDA Fabric APWAP Join 1 AP EID register 4 AP RLO? 3 AP heck Fabric WL 1 Fabric Edge rejestruje adres IP danego AP (EID) i aktualizuje informacje w ontrol Plane (P) 2 AP podłącza się do WL za pomocą tradycyjnych metod. Fabric AP pracuje jako Local mode AP 3 4 WL sprawdza czy AP jest odpowiedni do pracy w Fabric (Wave 2 lub Wave 1 AP) Jeżeli weryfikacja jest pozytywna -> WL pyta P czy AP jest podłączony do Fabric 25

SD-Access Wireless podstawowe mechanizmy Podłączenie AP (AP join) FE1 SDA Fabric 5 AP RLO AP L2 EID register 6 Fabric WL 5 6 P odpowiada do WL przesyłając RLO. To oznacza, że AP jest podłączony do Fabric WL wykonuje L2 LISP registration w imieniu AP w P (a.k.a. AP special secure client registration). To jest wykorzystywane do przesłania informacji metadata od WL do FE 26

SD-Access Wireless podstawowe mechanizmy Podłączenie AP (AP join) FE1 interface Tunnel 7 8 SDA Fabric AP EID update Fabric WL 7 8 W odpowiedzi na proxy registration P informuje Fabric Edge i przesyła metadata otrzymane z WL (flaga mówiąca o tym, że jest to AP oraz jaki jest jego IP adres) Fabric Edge przetwarza te informacje, uczy się adresu IP AP oraz tworzy Interface tunnel dla VXLAN pod kątem otrzymanego adresu IP (optymalizacja: strona przełącznika jest gotowa na obsługę klientów) 27

SD-Access Wireless podstawowe mechanizmy Podłączenie klienta bezprzewodowego lient Join FE1 1 APWAP in VXLAN SDA Fabric lient SGT/VNID and RLO Fabric WL 1 Klient uwierzytelnia się do WLANu (Fabric Enabled). WL otrzymuje informację o SGT z ISE, informuje AP o L2VNID oraz SGT. WL wie za jakim RLO znajduje się AP z internal D 28

SD-Access Wireless podstawowe mechanizmy Podłączenie klienta bezprzewodowego lient in FWD table FE1 3 SDA Fabric lient MA register 2 Fabric WL 1 2 3 Klient uwierzytelnia się do WLANu (Fabric Enabled). WL otrzymuje informację o SGT z ISE, informuje AP o L2VNID oraz SGT. WL wie za jakim RLO znajduje się AP z internal D WL wykonuje proxy registration informacji L2 o kliencie w P; to jest zmodyfikowana wiadomość LISP, przekazująca dodatkowe informacje, takie jak: SGT FE jest informowane przez P i dodaje MA adres klienta do L2 forwarding table i pobiera politykę dla klienta z ISE w oparciu o SGT 29

SD-Access Wireless podstawowe mechanizmy Podłączenie klienta bezprzewodowego FE1 DHP flow DHP 4 5 DHP packet + L2 vnid 6 SDA Fabric Fabric WL 4 5 6 Klient wysyła DHP Request AP enkapsuluje ruch w VXLAN wraz z informacją L2 VNI FE mapuje L2 VNID do VLANu na interfejsie i przesyła zapytanie DHP w overlay (tak samo jak w przypadku klienta przewodowego) 30

SD-Access Wireless podstawowe mechanizmy Podłączenie klienta bezprzewodowego FE1 7 SDA Fabric DHP 8 lient IP, L3 VNI, RLO IP Fabric WL 7 8 Klient otrzymuje adres IP z serwera DHP DHP snooping (i/lub ARP dla statycznych) uruchamia rejestrację klienta przez FE do P To kończy proces podłączenia (onboardingu) klienta 31

SD-Access Wireless podstawowe mechanizmy Roaming klienta bezprzewodowego AP2 FE2 1 AP1 FE1 SDA Fabric client update to AP lient L2 MA entry update 2 3 Fabric WL 1 2 3 Klient roamuje do AP2 na FE2 (inter-switch roaming). WL jest informowany przez AP WL aktualizuje wpis L2 MA w P z nowym RLO = FE2 WL aktualizuje również forwarding table na AP 32

SD-Access Wireless podstawowe mechanizmy Roaming klienta bezprzewodowego AP2 lient SVI 20.2.4.1/20 lient IP, L3 VNI, RLO IP AP1 lient SVI 20.2.4.1/20 FE2 5 SDA Fabric FE1 4 Fabric WL 4 P wysyła notyfikację do: Fabric Edge FE2 to add the client MA to forwarding table pointing to tunnel Fabric Edge FE1 to do clean up for the wireless client Fabric order to update internal RLO for this client 5 FE aktualizuje wpis L3 (IP) w bazie danych P w momencie otrzymania ruchu 6 Roaming jest Layer 2 jakoże FE2 ma ten sam VLAN interface (Anycast GW) 33

SD-Access Wireless Założenia projektowe

Sposoby integracji WLAN z SDA Fabric UWN wireless Over The Top (OTT) SD-Access Wireless (zintegrowany) ISE / AD API-EM ISE / AD API-EM APWAP ntrl & Data SD-Access Fabric Non-Fabric WL VS. APWAP ntrl plane VXLAN Data plane SD-Access Fabric Fabric enabled WL Non-Fabric APs Fabric enabled APs APWAP for ontrol Plane and Data Plane SDA Fabric is just a transport Supported on any WL/AP software and hardware Migration step to full SDA APWAP ontrol Plane, VXLAN Data plane WL/APs integrated in Fabric, SD-Access advantages Requires software upgrade (8.5+) Optimized for 802.11ac Wave 2 APs

UWN Over the Top (OTT) Definicja: Wireless OTT: APWAP jest dodatkową siecią nakładkową w stosunku do Fabric: tradycyjna sieć oparta o APWAP, siecią transportową dla APWAP jest Fabric Kiedy OTT? Jako krok migracyjny: dla klientów, którzy muszą/chcą zmigrować najpierw część przewodową (inne zespoły zarządzające siecią przewodową/bezprzewodową, czas by zapoznać się z Fabric, inne cykle zakupowe, itp.) Rozwiązanie długookresowe: dla klientów którzy nie chcą/nie mogą przejść bezpośrednio w model zintegrowany (nowe oprogramowanie, 802.11n, sieć bezprzewodowa zbyt krytyczna by wprowadzać zmiany) APWAP tunnel SD-Access Fabric Non Fabric AP Non Fabric WL 36

SD-Access Wireless OTT Wireless as an Overlay (OTT) - uwagi Wspiera wszystkie modele AP Zewnętrzne do Fabric. Nie ma potrzeby aktualizacji oprogramowania. Wszystkie usługi działają jak do tej pory. APWAP APWAP in VXLAN OTT WL IP Network SDA Fabric isco Prime Wspólna podsieć dla AP proste wdrożenie Zwiększ MTU wzdłuż ścieżki by zapobiec fragmentacji isco Prime Infrastructure do zarządzania 37

WLAN w pełni zintegrowany z SDA

SD-Access Wireless WLAN zintegrowany SDA Fabric IP Network Fabric WL APs EID prefix 10.1.0.0/20 WLs connect external to fabric 192.168.1.0/24 WL Mgmt subnet WL local to the Site no support for Flex or WL over WAN order advertises WL Management subnet to the Fabric order advertises Fabric prefixes to the WL Management network 39

SD-Access Wireless WLAN zintegrowany AP VLAN 10.1.0.254/20 SDA Fabric IP Network 10.1.0.200 AP VLAN 10.1.0.254/20 EID prefix 10.1.0.0/20 Fabric WL 10.1.0.201 Access Points are directly connected to the Fabric Edge APs are in overlay space on Fabric Edges One subnet for APs across the entire Fabric APs get registered in the P database Simplified IP design for AP onboarding (one subnet) 40

SD-Access Wireless WLAN zintegrowany lient VLAN 20.2.4.0/20 SDA Fabric IP Network 20.2.4.13 lient VLAN 20.2.4.0/20 EID prefix 20.3.4.0/20 Fabric WL 20.2.4.80 lient subnets are distributed on Fabric Edge switches No need to define client subnets on WL lient subnets are mapped to VLAN with Anycast Gateway on all Fabric Edge switches All roams are Layer-2 Roams 41

SD-Access Wireless WLAN zintegrowany lient VLAN 20.2.4.0/20 SDA Fabric IP Network 20.2.4.13 lient VLAN 10.1.18.0/20 Fabric WL wired host 10.1.18.24 Wireless client traffic is distributed No hair-pinning to centralized controller ommunication to wired clients is directly through Fabric 42

SD-Access Wireless WLAN zintegrowany 20.2.4.13 Fabric SSID lient VLAN 20.2.4.0/20 SDA Fabric IP Network Dynamic interface 172.16.3.5/24 Non-Fabric SSID 172.16.3.80 Fabric capability enabled on a per WLAN basis APWAP WLAN can co-exist with Fabric-enabled WLAN using same Fabricenabled WL 43

Dostęp gościnny w SDA

Dostęp gościnny w SD-Access Wireless Standardowe rozwiązanie oparte o Anchor APWAP SDA Fabric DMZ Internet 10.10.10.40 EoIP Foreign WL Anchor WL Guest WLAN anchored at Guest Anchor in DMZ Well proven UWN solution, protecting investment Restriction of 71 Guest Tunnels Separate solution for Wired Guest, Anchor WL managed differently 45

Dostęp gościnny w SD-Access Wireless W pełni zintegrowane w DNA- 1. ISE and DNA- integration 2. One touch guest solution 46

Dostęp gościnny w SD-Access Wireless Dedykowany VN dla gości SDA Fabric Guest VRF DMZ Internet 10.10.10.40 WL Guest is just another VN in fabric, configured by DNA Leverages fabric segmentation (VNI, SGT) an have granular access in Guest VN with SGT onsistent solution and policy for Wired and Wireless Guests 47

Dostęp gościnny w SD-Access Wireless Dedykowany Fabric Domain dla gości SDA Fabric DMZ Internet 10.10.10.40 WL Guest F Guest solution managed by DNA- Leverages dedicated ontrol/data Plane for Guest onsistent solution for Wired and Wireless Guests onsistent policy for Wired and Wireless Guests Higher scalability for Guest VXLAN tunnels at the Guest order 48

Wysoka dostępność WLAN w SDA

Wysoka dostępność SD-Access Wireless Redundancja SSO Wireless LAN ontroller is a control plane node in Fabric Active Standby WL registers wireless clients in Host Tracking D (P). WL acts as a Proxy ETR in LISP terminology WL is connected outside Fabric SSO pair Stateful Redundancy with SSO WL SSO pair is seen as one node by Fabric Only Active WL interacts with P node Fabric configuration and P state is synched between Active and Standby WL Upon failure, new Active WL will bulk update Fabric clients to the P node (LISP-refresh) APs and lients stay connected P 50

Wysoka dostępność SD-Access Wireless Redundancja SSO Wireless LAN ontroller is a control plane node in Fabric Active WL registers wireless clients in Host Tracking D (P). WL acts as a Proxy ETR in LISP terminology WL is connected outside Fabric Stateful Redundancy with SSO WL SSO pair is seen as one node by Fabric Only Active WL interacts with P node Fabric configuration and P state is synched between Active and Standby WL Upon failure, new Active WL will bulk update Fabric clients to the P node (LISP-refresh) APs and lients stay connected ulk update HTD 51

Wysoka dostępność SD-Access Wireless Redundancja N+1 Wireless LAN ontroller is a control plane node in Fabric WL registers wireless clients in P. WL acts as a Proxy ETR in LISP terminology WL is connected outside Fabric Primary lients registrations Secondary Stateless Redundancy with N+1 AP is configured with Primary and Secondary AP and associated clients register with Primary Upon Primary failure, AP disconnects and joins Secondary lients are also disconnected and join Secondary Secondary performs new client registration in P APWAP ontrol 52

Wysoka dostępność SD-Access Wireless Redundancja ontrol Plane ontrol Plane bazuje na LISP Map Server / Resolver Host Database, tracks Endpoint ID to Edge Node bindings, along with other attributes (e.g.. SGT) lient updates Redundancy is supported in Active / Active configuration WL (and Fabric Edges) are configured with two P nodes and synch information to both If one fails, all client information is available at the other P node 53

Wysoka dostępność SD-Access Wireless Redundancja ontrol Plane ontrol Plane bazuje na LISP Map Server / Resolver lient updates 54

Jak uruchomić SDA-Wireless w oddziałach?

SD-Access Wireless w oddziałach Dedykowany oddziałowy Fabric Domain Per branch Fabric: dedicated F, P and WL ISE / AD DNA WL Internet local WL Services block ampus ore WAN ranch Fabric ampus Fabric enefits: Support for any WAN link latency Direct Internet Access available onsiderations Need a local WL Limited scalability in DNA version 1 in terms of number of branches (10 Fabric domains in July) 56

SDA Wireless Innovate Faster with Fabric-Enabled Wireless DNA enter Software Defined Wireless Zcentralizowane zarządzanie siecią wired-wireless Seamless L2 roam across ampus onsistent Policy for Wired/Wireless Automatyzacja tworzenia polityk bezpieczeństwa Rozproszony ruch klientów zapewnia wysoką wydajność Uproszczone uruchamianie usług Wi-Fi Policy stays with user Simplified Provisioning Optimized data plane with ampus-wide Roaming Easy end to end Virtualization Wired and Wireless and Segmentation Policy onsistency 57

Dziękuję