Архитектура решения cisco converged access - преимущества...

Архитектура решения Cisco Converged

Access - преимущества «единой сети»

Дмитрий Рыжавский

Системный инженер

Cisco Systems

[email protected]

19.12.2013 © 2013 Cisco and/or its affiliates. All rights reserved.

© 2013 Cisco and/or its affiliates. All rights reserved.BRKCRS-2889 Cisco Public

• Причины появления Converged Access, компоненты

• Классическая архитектура Cisco Unified Wireless Network

• Особенности внедрения Converged Access

• Безопасность, QoS – качество обслуживания и контроль приложений, поддержка AVC

• Сценарии внедрения и лицензирование

• Заключение

Содержание

2

Почему появился Converged Access

19.12.2013 © 2013 Cisco and/or its affiliates. All rights reserved. 3


Начало 2000 2002 2004 2006 2008 2010 2012 2014 …

Кл

ие

нт

ы / П

ро

пу

ск

на

я с

по

со

бн

ос

ть

Мультимедийные приложенияПовсеместное распространение

Критически важна работоспособность

Желательно иметь

10 Гбит/с

11 Мбит/с

802.11n

450 Мбит/с

802.11a, 802.11b

11 Мбит/с

802.11g

54 Мбит/с

802.11ac-1

1 Гбит/с

802.11ac-2

3,5 Гбит/с

Перспектива


1 3 5 7

Подумайте, какой вариант ответа вам наиболее близок?

Сколько мобильных устройств с WiFiбудет у вас с собой в 2015?

5


Wireless ControlSystem

Access ControlServer

LAN MgmtSolution

Identity Mgmt

NACProfiler

GuestServer

Cisco WirelessLAN Controller

InternalResources

Cisco FirewallCisco Access Point

Catalyst Switch

Corporate Network Internet

One ManagementPrime

One PolicyISE

WLAN ко н тр оллер н а о с н о ве I O S

• Единый IOS и ASIC с коммутаторами Catalyst 3850

• Необходим для масштабирования более250 AP или 16K абонентов в домене

Конвергентный доступ• Встроенный функционал беспроводного

контроллера

• Распределенная плоскость коммутации для wired/wireless (терминация CAPWAP на коммутаторе)

New 5760

One Network

Catalyst 3850

Единая сеть с конвергентным уровнем доступа–еще один путь внедрения Wireless

6

Конвергентный проводной и беспроводной доступ —преимущества

Масштабируемость за счет распределенной плоскости коммутации

данныхпроводного и

беспроводного доступа

480 Гбит/с – пропускная способность стека, 40 Гбит/с — беспроводной

доступ, оптимизированный

мультикаст

Максимальнаяустойчивость за

счет быстрого восстановления

Многоуровневая архитектура высокой

доступности с аварийным

переключением с учетом состояния

Единаяплатформа для

проводного и беспроводного

доступа

Общая система IOS, общая точка

администрирования,одна версия ПО

Ун и ф и ц и р о в а н н ы й д о с т у п — е д и н а я п о л и т и к а , е д и н о е у п р а в л е н и е , е д и н а я с ет ь

Сетевая прозрачность для

быстрогоустранения неполадок

Трафик проводной и беспроводной сети

можно контролировать на

каждом узле

Согласованный контроль

безопасности и качества

обслуживания

Иерархическое управление пропускной

способностью и распределенное

применение политик

П р е и м у щ е с т в а• Создано на основе ASIC UADP (unified access

data plane) — инновационной технологии ASIC Flexparser Cisco

• Упрощение эксплуатации

• Единая операционная система для проводных и беспроводных сетей

• Централизованное внедрение

• 802.11n

• CleanAir

• VideoStream

• Управление радиоресурсами (RRM)

• Система предотвращения вторжений для беспроводной сети (WiPS)

• Поддержка 802.11ac

Функции:• Стекирование

• Stackpower

• Trustsec/Идентификация

• AVC/Medianet

• Flexible Netflow

• Детализированное качество обслуживания

• Высокая доступность

• Модульный IOS

Функции:

Единая платформа для проводного и беспроводного доступаБ о л е е 2 0 л е т и с п о л ь з о в а н и я ф у н к ц и о н а л ь н о с т и I O S — т е п е р ь и д л я

б е с п р о в о д н о г о д о с т у п а

Беспроводной

доступ

Проводной

доступ

Примечание. На момент представления в новых

платформах может быть доступна только часть

функций. Ожидается, что остальные возможности

будут добавлены в течение 12 месяцев.

Л у ч ш а я в с в о е м к л а с с е п р о и з в о д и т е л ь н о с т ь , б е з о п а с н о с т ь и у с т о й ч и в о с т ь

Контроллер беспроводной сети 5760

Cisco Prime

Кто? Что? Когда

?

Где? Как?

ISE

Catalyst 3850

• Первый в отрасли полностью интегрированный коммутатор для проводной и беспроводной сети

• Беспроводная сеть: 480 Гбит/с стек,50 точек доступа, 2 000 клиентов, 40 Гбит/с

• Слот для аплинк модуля и встроенный функционал стекирования

• Flexible Netflow, гранулярное QoS

Единая политика с Identity Services Engine (ISE)

• Управление политикой BYOD

• Профилирование и оценка устройств

• Портал гостевого доступа

• Полное управление проводным и беспроводным доступом

• Представление, ориентированное на пользователей и устройств

• Интуитивно понятные рабочие процессы устранения неполадок

Единое управление с Cisco Prime 2.0

Catalyst 3650

• Многоядерный процессор, lInux

• Беспроводная сеть: 160 Гбит/с стек,25 точек доступа, 1 000 клиентов, 40 Гбит/с

• Фиксированные аплинк порты и слот для модуля стекирования

• Flexible Netflow, гранулярное QoS

• Резервирование питания

Контроллер беспроводной сети 5760

• IOS, совместимая с Catalyst 3850

• 60 Гбит/с, 11 000 точек доступа, резервирование по схеме N+1

• FNF, гранулярное QoS

Catalyst 3850 Catalyst 3650

Конвергентный доступ — компоненты


One Policy, One Management,One Network

Unified Access Wireless

Уникальный выбор вариантов внедрения

Autonomous FlexConnect

(Private

Cloud)

Centralized Converged

Access

Простота

Unified

Network

Public

Cloud

N.A.A.S.

One Network обзор возможных опций внедрения WiFi

10

Классическая архитектура Cisco Unified

Wireless Network19.12.2013 © 2013 Cisco and/or its affiliates. All rights reserved. 11


Всё начиналось c …

Разделение

функций с

помощью

CAPWAP

Хотспоты с минимальными потребностями в роуминге

Autonomous

Mode

Cisco

Unified

Wireless

Cisco

Converged

Access

Функции Control plane реализуются на контроллерах нового поколения(также возможно использование контроллеров 5508 иWiSM2 в существующих системах, или коммутаторов Converged Access для небольших сетей, например филиалов)

Улучшенная масштабируемость,

централизованное применение политик

• Унификация проводных и беспроводных сетей(безопасность, политики, сервисы)

• Единообразное применение политик и одинаковый набор сервисов для проводного и беспроводного трафика

(NetFlow, advanced QoS, и другие …)

Функции Data plane реализуются на коммутаторах нового поколения (в случае необходимости в централизации, возможна реализация на новых контроллерах)

ОтдельнаяТочка доступа

Точка доступа

У точек доступа есть возможность выполнять функции реального масштаба времени, применять политики и оптимизировать радиопараметры, такие как CleanAir и ClientLink

Централизованное туннелированиепользовательских данных к контроллеру (управление и данные)

Общесистемное скоординированное управление сменой каналов и мощностей, обнаружение посторонних устройств,атак, помех и организация роуминга

Контроллер

Cisco Converged Access –Рост потребностей приводит к эволюции технологий…

Производительность и унификация

функцийМасштабирование и сервисыПростота внедрения

12

CA

PW

AP

New

Mo

bility


Mobility Group

ЦоД/

сервисный блокЭлементы архитектуры –типы тоннелей в CUWN

AP-Controller CAPWAP Tunnel

802.11 Control Session + Data PlaneОб

оз

на

че

ни

я

AP AP AP AP

ISEPI

Inter-Controller

EoIP / CAPWAP Tunnel

SSID2 SSID3

Intranet

EoIP Mobility Tunnel ( < 7.2)

CAPWAP Option in 7.3

SSID1

Inter-Controller (Guest Anchor)

EoIP / CAPWAP Tunnel

Internet

Известная,

успешная

архитектура

Соответствие

SSID – VLAN

(на контроллере)

CAPWAP

Tunnels

Примечания –

• CAPWAP тоннели между AP / WLC описаны в стандарте IETF• UDP порты –

• 5246: зашифрованный траффик управления• 5247: Пользовательские данные (без шифрования или с DTLS

шифрованием (настраиваемый параметр)

• Межконтроллерные Mobility тоннели• EoIP – IP протокол номер 97 … AireOS 7.3 добавил поддержку

CAPWAP• Используется для межконтроллерного L3 роуминга и изоляции

трафика гостей

Шифрование

WLC #2

Foreign WLC

“Guest” AnchorWLC #1

Existing Unified Wireless Deployment today …

13


Data Center /

Service block

PI

ISE

Mobility Group

AP AP AP AP

SSID2 SSID3

Intranet

EoIP Mobility Tunnel ( < 7.2)

CAPWAP Option in 7.3

SSID1

Internet

CAPWAP

Tunnels

Еще немногоо работе

контроллеров БЛВС

Понимание этих принципов критично для объяснения работы Converged Access

Элементы архитектуры –CUWN Control Functions

LE

GE

ND

Foreign WLC

“Guest” Anchor

Mobility Controller

Роуминг, RRM, WIPS, и т.д.

MCMC

MC

MC

Mobility Agent

Построение CAPWAP

тоннелей,

Ведение БД клиентов

MAMA

MA

MA


WLC #2WLC #1

14


Layer 2

Mobility Group

WiSM2s / 5508s

Data Center-

DMZ

SiSi SiSi

SiSi

SiSi

Data CenterCampus Services

SiSi

SiSi

CampusGuest Anchors

Internet

SiSiSiSi

SiSiSiSi

CampusAccess

MC

MC

MC

MA

MA

MA

MC MA

MC MA

PI

ISE

PoP PoA

Point of Presence (PoP) vs.Point of Attachment (PoA) –

• PoP – точка присутствия беспроводного абонента в проводной сети

• «привязывает» IP адрес абонента• Точка применения политик безопасности

• PoA – точка прикрепления абонента после роуминга

• Перемещается при переключении абонента на новую AP

• Используется для обеспечения мобильности и применения политик QoS

Элементы архитектуры –Point of Presence (PoP), Point of Attachment (PoA)


15


Layer 2

Mobility Group

WiSM2s / 5508s

Data Center-

DMZ

SiSi SiSi

SiSi

SiSi


SiSi

SiSi

CampusGuest Anchors

Internet

SiSiSiSi

SiSiSiSi

CampusAccess

MC MA

MC MA

PI

ISEMC

MC

MC

MA

MA

MA• Первоначальные PoP и PoA

абонента находятся на одном и том же

контроллере

• Замечание – в данном примере

предполагается, что все контроллеры имеют

единый набор VLAN-ов на 2 уровне

• Показывается первоначальный путь

данных пользователя…

Элементы архитектуры –Роуминг на 2 уровне (кампусная сеть)

PoP PoA


16


Layer 2

Mobility Group

WiSM2s / 5508s

Data Center-

DMZ

SiSi SiSi

SiSi

SiSi


SiSi

SiSi

CampusGuest Anchors

Internet

SiSiSiSi

SiSiSiSi

CampusAccess

MC MA

MC MA

PI

ISEMC

MC

MC

MA

MA

MA

PoP PoA

• Потом пользователей подключается к AP,

находящегося под управлением другого

контроллера из той же Mobility Group …

• Точки PoP и PoA абонента перемещаются

на другой контроллер, обслуживающий

его данные после роуминга …

• Показан путь данных пользователя после

роуминга…

Безусловный переход

абонентского контекста



17


Data Center

Campus Services

ISE

PI

Data Center-

DMZ

SiSi SiSi

SiSi

SiSi


SiSi

SiSi

CampusGuest Anchors

Internet

SiSiSiSi

SiSiSiSi

CampusAccess

PI

ISE

MC MA

MC MA

• Первоначальные PoP и PoA

абонента находятся на одном и том же


• Note – в данном примере предполагается,

что все контроллеры имеют разный набор

VLAN-ов на 2 уровне

• (т.е. контроллеры отделены друг от друга на

третьем уровне)

• Показывается первоначальный путь

данных пользователя…


Layer 3

Mobility

Group5508 /

WiSM-2

5508 /

WiSM-2

MC MA MC MA

PoP

PoA


18


Data Center

Campus Services

ISE

PI

Data Center-

DMZ

SiSi SiSi

SiSi

SiSi


SiSi

SiSi

CampusGuest Anchors

Internet

SiSiSiSi

SiSiSiSi

CampusAccess

PI

ISE

MC MA

MC MA

Layer 3

Mobility

Group5508 /

WiSM-2

5508 /

WiSM-2

• Потом пользователь подключается к AP,

находящегося под управлением другого

контроллера из той же Mobility Group…

• Точка прикрепления абонента PoA

перемещается на новый контроллер, через

который пройдет трафик после роуминга –

но точка присутствия абонента PoP

остается на контроллере, с которым

пользователь был ассоциирован

первоначально

• Это происходит для сохранения абонентом

IP адреса после роуминга – а также для

продолжения работы первоначально

примененных к абоненту политик

• Показан путь данных пользователя после

роуминга…

Symmetric

Mobility

Tunneling


PoP

MC MA MC MAPoA


19


PSTN

CUCM

WiSM2s / 5508s

Применение политик

проводной сети на коммутаторе

Применение политик

беспроводной сети на


MC MA MC MA

PoPPoA

Пути данных,Unified Wireless –

• В этом примере абонент совершает звонок с беспроводного телефона, подключенного к классической беспроводной сети Cisco, на стационарный IP-телефон…

• Пользовательский трафик всегда будет проходить через контроллер, независимо от направления…

В данном примере, общий путь данных в каждом направлении составляет 9 узлов (считая контроллер, роуминг на 3 уровне добавит еще узел в путь трафика)

Одинаковые

маршруты для

голоса, видео и

данных

Разные

политики для

проводных и

юеспроводных

абонентов

Unified Wireless –путь пользовательских данных


20

Архитектура Converged Access



Mobility Domain MO

Sub-Domain

#1

Sub-Domain

#2

Mobility Group

SPG SPG

PIISE

MAMAMA MAMAMA

MCMC

Converged Access –Deployment Overview

Cisco Converged Access Deployment

22


• Mobility Agent (MA) – терминирует CAPWAP туннель от AP

• Mobility Controller (MC) – Manages mobility within and across Sub-Domains

• Mobility Oracle (MO) – надмножество MC,используется для повышения масштабируемости в пределах домена мобильности

• Mobility Groups – объединение Mobility Controller-ов (MCs)для обеспечения быстрого роуминга, радиоуправления и т.п.

• Mobility Domain – группа MCs с поддержкой бесшовного роуминга

• Switch Peer Group (SPG) – локализует роуминговый трафик внутри блока уровня распределения

Физические элементы-

Логические элементы-

MA, MC, функции Mobility Group – все это работает на существующих контроллерах (4400, 5500, WiSM2)

Converged Access –Компоненты– физические и логические элементы


23


Mobility Group PIISE

MAMAMA

• MA – нижний уровень в иерархии MA

/ MC / MO

• Один MA на стек из Catalyst 3850

• Ведет базу данных локальных

абонентов

• Взаимодействует с Mobility

Controller (MC)

Converged Access –Физические элементы – Mobility Agents (MAs)


24


Mobility Group PIISE

MAMAMA

• Обязательный элемент внедрения

• Поддерживает базу состояний MC в Sub-Domain(1 x MC = 1 Sub-Domain)

• Выполняет функции радиоуправления RF functions (в т. ч. RRM)

• Для масштабируемости несколько MС могут объединяться в Mobility Grou

• Управляет mobility-состоянием подконтрольныхMAs

• Может объединяться с MA (небольшие внедрения)

• MC поддерживается на Catalyst 3850,WiSM2, 5508, and 5760

Converged Access –Физические элементы – Mobility Controllers (MCs)


25

MC MC


• Может выполнять роль Mobility Agent (MA)и терминировать CAPWAP тоннели от локально подключенных APs …

• и роль Mobility Controller (MC)для других Mobility Agent (MA) коммутаторов, в небольших сетях

- MA/MC работает на стеках коммутаторов Catalyst 3850- MA/MC функционал выполняется на стек-мастере- стек-резервный коммутатор синхронизирует часть

информации (в целях обеспечения отказоустойчивости внутри стека)

Лучший в своем классе коммутатор

уровня доступас интегрированным

Беспроводнымконтроллером

Converged Access –Физические элементы – стек коммутаторов Catalyst 3850 или 3650

MC

MA


26


• Быстрый роуминг внутри SPG

• MA внутри SPG соединены в полносвязную

топологию (автоматически в момент

формирования SPG)

• Состоят из нескольких коммутаторов

Catalyst 3850 в роли Mobility Agents (MAs),

и MC (в данном примере MC на

контроллере)

• Обеспечивают роуминг в SPG (L2 / L3)

• Несколько SPG под управлением

единого MC формируют Sub-Domain

SPG является логическим элементом, не физическим …

SPG может формироваться поверх L2 и L3 границ

SPG предназначены для локализации роуминга внутри ограниченной по размеру зоны, а также оптимизации быстроты и масштабируемости роуминга

На сегодняшний день, оптимальныое формирование SPG основывается на зданиях, этажах зданий или иных зонах, в пределах которых роуминг требуется больше всегоДанные абонентов в роуминге внутри SPG передаются напрямую между MA входящими в SPG (CAPWAP full mesh)

Данные абонентов в роуминге между SPG передаются через MC(s), управляющие данными SPGs

Converged Access –Логические элементы– Switch Peer Groups

Sub-Domain 1

MAMA

SPG-B

MC

MAMA

SPG-A


Иерархическая

Архитектура

Оптимизирована

На масштабируемость

и роуминг


Sub-Domain 2

MAMA

SPG-C

MAMA

SPG-D

Sub-Domain 1

MAMA

SPG-B

MAMA

SPG-A

Converged Access –Логические элементы – Switch Peer Group и Mobility Group

Sub-Domain 3

MAMA

SPG-E

MAMA

SPG-F


Mobility

Group

MC MC

MC

• Один Mobility Controller (MC) выполняет

RRM для всей RF Group

• Радиоуправление (RRM, выполняется RF

Group лидером), распределение ключей

для быстрого роуминга

• Состоит из нескольких

Mobility Controllers (MCs)

• Быстрый роуминг ограничен для MC

входящих в Mobility Group

• Отвечает за роуминг внутри MG (L2 / L3)

• Быстрый роуминг в пределах SPG

• MAs внутри SPG образуют полносвязный

mesh (автоматически при формировании SPG)

• Состоит из нескольких коммутаторов

Catalyst 3850 в роли Mobility Agents (MAs),

и MC (на контроллере)

• Отчечает за роуминг внутри SPG (L2 / L3)

• Несколько SPGs под управлением одного

MC внутри Sub-Domain 28


Как и в любой другой системе – есть особенности которые следует учитывать …

• Сводная справочная инфомрация

Масштабируемость 3850 в роли MC 5760 5508 WiSM2

Максимальное число MCs в Mobility Domain 8 72 72 72

Максимальное число MCs в Mobility Group 8 24 24 24

Максимальное число MA в Sub-domain (на MC) 16 350 350 350

Максимальное число SPGs в

Mobility Sub-Domain (на MC)8 24 24 24

Максимальное число MAs в SPG 16 64 64 64

Максимальное число WLANs 64 512 512 512

Converged Access –особенности масштабирования


29

Как работает роуминг



AP AP AP

SPG

Point of Presence (PoP) vs.Point of Attachment (PoA) –

• PoP – точка присутствия беспроводного абонента в проводной сети

• PoA – точка прикрепления абонента после роуминга

• Перед первым роумингом, PoPи PoA совпадают

Путь траффика

статичного

пользователя

Note – фиолетовые линии иллюстрируют подключение MAs к ихMC для каждой Switch PeerGroup (или Groups) … обратите внимание, данные НЕ проходят черезMC …

Converged Access –Роуминг – Point of Presence (PoP), Point of Attachment (PoA)

MC

MA MA MA

PoA

PoP


31


PIISECentral Location

Guest Anchor

DMZ

WAN

CAPWAP tunnel

to Guest Anchor

3850Switch

CAPWAP tunnels –control and data path

Converged Access –Traffic Flow и роуминг – один стэк Catalyst 3850

MC MA

PoA

PoP


32


PSTN

CUCM

SPG

More efficientsince traffic flowsare localized to

the 3850 switch –Performance

Increase

WiSM2s / 5508s / 5760s

Trafficdoes not

flowvia MCs

Traffic Flows, сревнение(Converged Access) –

• Звонок с беспроводного на проводной IP телефон

• Трафик локализуется в перделах SPG

Всего 1 узел на пути трафика без роуминга, дополнительный узел вместе с роумингом

Convergedpolicies andservices for wired and wireless

users

Wired andwireless policies

implementedon 3850 switch

Converged Access –Traffic Flow


MC MCMA MAMA MA

PoPPoA

33


SPG

uRPF, Symmetrical

Routing, NetFlow,

Stateful Policy

Application …

Роуминг

между

кроссовыми

Converged Access –Traffic Flow и роуминг – Филиал, L2 / L3 роуминг внутри SPG

MC MA MA MA

PoA

PoP


Очень

типичный

сценарий

роуминга

34

Это выглядит также, как и L3 роуминг в CUWN…Это тот же самый процесс


MA

SPG

Roamingwithin an SPG

(L3 behaviourand default L2

behaviour)

Converged Access –Traffic Flow и роуминг – Кампус L2 / L3 роуминг (внутри SPG)


MC

MAMA

PoP

PoA

Roaming внутри SPG (Campus) –

• В этом примере абонент осуществляет роуминг внутриSwitch Peer Group – SPG обычно формируются с привязкой к этажу, корпусу и т.п.это наиболее вероятный и распротсраненный тип роуминга

Независимо от пересечения L3 границы (зависит от организации уровня доступа) –трафик абонента всегда* будет проходить через PoPдля применения политик

Очень

типичный

сценарий

роуминга

35


PSTN

CUCM

SPG

WiSM2s / 5508s / 5760s

Wired andwireless policies

implementedon 3850 switch

MC MC

PoPPoA

Более эффективен т.к. пути трафика остаются в

пределах SPG –Производительностьмасштабируемость

Trafficstill doesnot flowvia MCs

Converged Access –Traffic Flow – при роуминге внутри SPG


MA MAMA MAPoP

PoA

Traffic Flows, Comparison (Converged Access) –

• Роуминг голосового абонента в пределах SPG

• Три узла на пути трафика

36


SPG SPG

Roamingacross SPGs

(L3 separationassumed at

access layer)

Converged Access –Traffic Flow и роуминг – Кампус, L2 / L3 роуминг (между SPGs)


MC

MA MAMA MA MAMA

PoA

PoP

Roaming,между SPGs (кампус) –

• Возможный, но менее вероятный сценарий

37


PIISE

Mobility Group

SPG

MC MA MA MA

SPG

MC MA MA MA

Switch Peer Group / Mobility Group масштабирование Catalyst 3850 –

• До 8 x Catalyst 3850 MCs могут формирвоать Mobility Group

• До 250 AP и до 16,000 клиентов подедрживаются (maximum)на Mobility Group состоящую только из Catalyst 3850

• Лицензирование на MC – нет общего пула

• RRM,и другие функции скоординированысреди MCs в однойMobility Group

Full mesh MC

внутри Mobility

Group

SPG

! " #! "# ! " # ! " #SPG

! " #! "# ! " # ! " #SPG

! " #! "# ! " # ! " #SPG

! " #! "# ! " # ! " #SPG

! " #! "# ! " # ! " #SPG

! " #! "# ! " # ! " #

• Guest тоннели от каждогоMC –

к Guest Anchor контроллеруGuest Anchor

MC MA

Converged Access –Catalyst 3850 MC – Масштабирование


38


PIISE

Mobility Group

Что происходит, когда–

• Все попадают в здание через единственный вход

• Точки доступа в холле контролируются одним стеком коммутаторов

• Все пользователи, их их траффик –

• Оказываются «прикреплены» к одному коммутатору ...Что приводит к неравномерной загрузке, исчерпанию IP адресов в DHCP пуле и т.п.

Логически

Большинство

клиентов так и

«остаются»

в холле



SPG

MC MA MA

Guest Anchor

MC MA

SPG

MC MA MA MA

Зона

ресепшн

MA

PoP

PoA

PoP

PoA

Converged Access –Общий вход в здание– проблема “ресепшн”

39

© 2013 Cisco and/or its affiliates. All rights reserved.BRKCRS-2889 Cisco Public© 2013 Cisco and/or its affiliates. All rights reserved.BRKCRS-2889 Cisco Public

PIISE

Mobility Group



SPG

MA

Guest Anchor

MC MA

SPG

MC MA MA MA

Зона

ресепшн

MA

Как же решить эту проблему?

• Распределить ассоциацию новых абонентов среди Converged Access коммутаторов в Switch Peer Group

• Внутри SPG идет постоянный обмен информацией о нагрузке – с интервалом(10s по умолчанию, настраивается 1s-30s)

• При достижении заданной нагрузки, ответственный за холл Catalyst 3850 распределяет новые запросы на ассоциацию среди членов SPG … и прикрепление абонента происходит с учетом текущей загрузки

PoA

PoPPoP

Converged Access –Общий вход в здание– решение проблемы «ресепшн»

Over-load!

MC MA

Абонент будет

«привязан» к

среднему

коммутатору в SPG

на основе

загрузки

PoA

40

• Решение вопросовраспределения нагрузки и исчерпания DHCP ресурсов

• Безопасность, QoS – качество обслуживания и

контроль приложений, поддержка AVC


Для каждой точки доступа

Для каждого

радиосигнала

Для каждого SSID

Для каждого клиента

Для каждого приложения*

И е р а р х и ч е с к о е у п р а в л е н и е п р о п ус к н о й с п о с о б н о с т ь ю Б е з о п а с н о с т ь

• Идентификация

• Профилирование устройств

• SGT/SGACL**

• Политики уровня управления

• Поддержка MACSec

• Безопасность портов

• Отслеживание DHCPи защита источника IP

• Система предотвращения вторженийдля беспроводной сети (WiPS)

Согласованный контроль безопасности и качества обслуживанияПоддержка критически важных приложений

*На основе уровней 3 и 4 и с 4 по 7 в течение 9 месяцев после первой поставки клиенту

2,4 ГГц 5 ГГц

SSID

1

SSID

2

SSID

1

SSID

2

Jabber

**Перспективный план ПО — в течение 9 месяцев после первой поставки клиенту

Б е с п р е ц е д е н т н о е


• Реализовано в IOS на аппаратном уровне для проводных и беспроводных устройств

• Client Roaming

При роуминге L3 политики ACL будут приведены на PoP коммутаторе

При роуминге L2 политики ACL могут быть перенесены на новый коммутатор (PoA)

• ACLs – централизованная и распределенная политика, IPv4 и IPv6

• URL Redirection / URL ACL

• VLANs

• Service Templates (распределенные / централизованные)

Converged Access, применение политик –Авторизация – вторая буква “A” в AAA


43


• ДО Cat3850: один порт, один VLAN

на порту доступа (1:1)

• Исключение: Voice (одно Data

устройство без 1q тэгов, одно

Voice устройство тегировано Voice

VLAN)

• Потом: поддержка назначения

VLAN после аутентификации на

портах с несколькими

устройствами, VLAN по первому

устройству

• 3850: каждая сессия может

иметь индивидуальный VLAN

160 WIRED-EMPLOYEE active Gi1/0/13

VM

Gi1/0/13

Not a trunk!

170 WIRED-GUEST active Gi1/0/13

Per-Session VLAN Assignment –MAC-based VLANs


44

Традиционные развертыванияГостевой SSID может захватить неадекватно большую долю полосы пропускания

для каждой пропускной способности SSID

Гость Предприятие

Выделение полосы пропускания


Гость

Предприятие

Иерархическое управление пропускной способностью

Один пользователь может захватить неадекватно большую долю полосы пропускания


Выделение

полосы

пропускания


Важная персона

Справедливое распределение


(захват неадекватно

большой доли

полосы пропускания)

Равномерное выделение полосы пропускания на основе использования


Равномерное

выделение полосы

пропускания



(захват большой доли

полосы пропускания)

Конвергированный доступОграничение на пропускную способность SSID


Выделение полосы пропускания

Гость


Гость

Мин. 10% пропускной

способностиМин. 90% пропускной

способности

ISE Prime

Точки доступа

Трафик Multicast проводной сети

Catalyst 3850

Catalyst 3850

Multicast в традиционных развертываниях

(Multicast-Multicast mode)• Репликация Multicast для проводной сети

выполняется в коммутаторе

• Репликация Multicast для беспроводной сети

выполняется в контроллере

Оптимизация Multicast для

конвергированного доступа• Репликация Multicast для проводной и

беспроводной сети выполняется в коммутаторе

3850

• Сокращение количества потоков трафика в сети

Сервер

Multicast

Оптимизация Multicast для масштабируемых развертываний

Репликация

выполняется на

коммутаторе 3850

для всех клиентов

Получатели

трафика Multicast

(проводные и

беспроводные

клиенты)

Трафик Multicast беспроводной сети

Несколько

репликаций в

разных точках для

проводного и

беспроводного

доступа

NBAR2, AVC, FNF

Реализовано в IOS на аппаратном уровне для проводных и

беспроводных устройств

• маркировка траффика

• отчеты по приложениям

• ограничение работы нежелательных приложений

Сценарии внедрения и лицензирование


ИЛИ

Шаг 1

Клиент принимает условия соглашения EULA

Лицензии на ПО 3850:

• Lan Base = функции коммутации Layer

2

• IP Base = функции коммутации Layer 3

+ беспроводной доступ

• IP Services = функции IP Base +

расширенные функции Layer 3

Лицензирование функций ПО в Catalyst 3850Упрощенное лицензирование — модель лицензирования Right-To-Use(RTU)

Клиент приобретает лицензию или

хочет осуществить её трансфер

между коммутаторами

Шаг 2С помощью интерфейса CLI клиент активирует приобретенную лицензии (IP Base ИЛИ IP Services). Та же процедура для сценария с заменой оборудования RMA.

Как действует RTU?

Лицензии на точки доступа• требуются только в режиме MC

• могут приобретаться по одной – нет

скидки за опт

• переносимы между устройствами


Converged Access –Небольшой филиал – нет отдельных контроллеров, Catalyst 3850 как MC / MAs

Особенности –

• Может подключаться низкоскоростным WAN каналом

(bandwidth and latency a concern only for Guest traffic)

• Поддерживает Advanced QoS, NetFlow, и остальные сервисы для

проводного и беспроводного трафика

• Поддержка роуминга на 3 уровне

• Поддержка VideoStream и оптимизации multicast

• Высокий уровень доступности за счет резервирования MA/MC внутри

стека 3850 – БЛВС будет работать даже в случае падения канала

До

50 APs

50


Up to

50 APs

Converged Access – Небольшой или средний филиал – нет отдельных контроллеров, Catalyst 3850 как MC / MA, одна SPG

51


• Отдельные контроллеры не нужны, даже при наличии

нескольких кроссовых

• Поддерживает Advanced QoS, NetFlow, и остальные

сервисы для проводного и беспроводного трафика



• Высокий уровень доступности за счет

резервирования MA/MC внутри стека 3850 – БЛВС

будет работать даже в случае падения канала


До

250 APs

Масштабируемость…

до 8 x 3850 MCs

Converged Access – Большой филиалнет отдельных контроллеров, Catalyst 3850 как MC / MA, несколько SPG

52


• Отдельные контроллеры не нужны, даже при наличии

нескольких кроссовых

• Поддерживает Advanced QoS, NetFlow, и остальные

сервисы для проводного и беспроводного трафика



• Высокий уровень доступности за счет

резервирования MA/MC внутри стека 3850 – БЛВС

будет работать даже в случае падения канала


Converged Access – Крупная сеть

Контроллеры в роли MCs, Catalyst 3850 только как MA, несколько SPGs


• Лучше масштабируемость за счет использования отдельных контроллеров в роли MC вместе с Catalyst 3850 в роли MA

• Поддерживает Advanced QoS, NetFlow, и остальные сервисы

для проводного и беспроводного трафика



• Высокий уровень доступности за счет резервирования MA/MC

внутри стека 3850 – БЛВС будет работать даже в случае

падения канала

• Упрощенное внедрениеза счет использования 3850 в роли MA

>250 APs

53



• Использование отдельных контроллеров как MCs, вместе сCatalyst 3850 в роли MAs, дает очень хорошую масштабируемость

• Поддерживает Advanced QoS, NetFlow, и остальные сервисы для

проводного и беспроводного трафика

• Поддержка роуминга на 3 уровне, локализуя роуминг за счет SPG

• Высокая доступность

• Упрощенное внедрение при использование 3850 только как MAs по сравнению с 3850 в роли MCs / MAs

>250 APsConverged Access –Крупный кампус – централизованные MCs, 3850 только как MA

54


>250 APsConverged Access –Крупный кампус – распределенные MCs, 3850 только как MA

55

Особенности – Использование отдельных контроллеров какMCs, вместе с Catalyst 3850 в роли MAs, дает очень хорошую масштабируемость

Поддерживает Advanced QoS, NetFlow, и

остальные сервисы для проводного и

беспроводного трафика

Поддержка роуминга на 3 уровне,

локализуя роуминг за счет SPG

Высокая доступность

Упрощенное внедрение при использование

3850 только как MAs по сравнению с 3850 в

роли MCs / MAs


ISE Prime

Точки доступа

Масштабируемость:• Более 16 000 беспроводных клиентов и 250 точек доступа

• До 72 000 точек доступа, 864 000 клиентов в Mobility Domain

Миграция:• Обновление ПО в существующем 2504, 5508 или Wism2 до

версии 7.3

• Новый коммутатор доступа Catalyst 3850, 3650

Преимущества• Защита инвестиций с помощью обновления существующего

контроллера WLC

• Использование в соответствии с практическими

рекомендациями Cisco по развертыванию в комплексе зданий

• Поэтапная адаптация: совместимость с существующим

внедрением

Туннели CAPWAP AP Туннели Mobility

Обновление ПО в 5508 или wism2

Mobility DomainНовый 5760

Новый Catalyst 3850

Catalyst 3750

MC

MA

Заключение



Революционное дополнение к портфелю решений Cisco

Функционал Control planeна NG контроллерах

(также возможен на 5508s, WiSM2s или NG Converged Access

коммутаторах для небольших внедрений)Next-Generation WLAN Controller (5760)

Функционал Data plane на NG коммутаторах

(но может быть реализован на NG контроллерах при необходимости

централизованного внедрения)

Next-Generation коммутаторы (Catalyst

3850s)

Возможен благодарявозможностям Ciscoв разработке микросхем …UADP ASIC

Объединяя проводные и беспроводные сети –как Cisco отвечает новым веяниям?

ControllerКонтроллер


58


Converged Access –Когда использовать 3850/3650 в роли MC


• Преимущества –• снижение капитальных затрат – стоимость

соответствует 3750• не нужны отдельные контроллеры• Но, не больше 250 точек доступа в сети

• Недостатки -• некоторое усложнение эксплуатации и

ограничения по масштабируемости• больше точек управления

59

О чем важно помнить

• Поддерживается только прямое подключение точек доступа

• Нет поддержки Pass-Through подключения точек, если коммутатора работает как MA или MC

• 3850 – до 50 АР, 2000 клиентов

• 3650 – до 25 АР, 1000 клиентов

© 2013 Cisco and/or its affiliates. All rights reserved.BRKCRS-2889 Cisco Public© 2013 Cisco and/or its affiliates. All rights reserved.BRKCRS-2889 Cisco Public

Mobility Domain MO

Sub-Domain

#1

Sub-Domain

#2

Mobility Group

SPG SPG

PIISE

MAMAMA MAMAMA

MCMC

Революционное

пополнение в

портфеле решений

Cisco для

построения

беспроводных

сетей

Cisco

Converged

Access


Объединяя проводные и беспроводные сети –с решением нового поколения

60

19.12.2013 © 2013 Cisco and/or its affiliates. All rights reserved.

Пожалуйста, заполните анкеты.

Ваше мнение очень важно для нас.

Спасибо

Дмитрий Рыжавский

Системный инженер

[email protected]

CiscoRu Cisco CiscoRussia

#CiscoConnectRu

Mobility

Controller

Mobility

Agent

Peer Group

Mobility

Agent

Mobility

Agent

1. Wireless Client request Association

2. MA respond back with Association

3. WCM triggers IOS module to do

authentication

4. IOS starts authentication process for

client with AAA server

5. AAA server responds with ‘access

accept’ including dACL name and

version number in policy attributes

6. If switch has downloaded this dACL

previously and has current version it

uses the cached version

7. If switch does not have current

version then it queries the server for

latest dACL version

ISE

Downloadable ACL –Cisco Converged Access Deployment

62

Архитектура решения cisco converged access - преимущества...

Technology