Архитектура решения Cisco Converged Access - преимущества...
-
Upload
cisco-russia -
Category
Technology
-
view
605 -
download
6
Transcript of Архитектура решения Cisco Converged Access - преимущества...
Архитектура решения Cisco Converged
Access - преимущества «единой сети»
Дмитрий Рыжавский
Системный инженер
Cisco Systems
19.12.2013 © 2013 Cisco and/or its affiliates. All rights reserved.
© 2013 Cisco and/or its affiliates. All rights reserved.BRKCRS-2889 Cisco Public
• Причины появления Converged Access, компоненты
• Классическая архитектура Cisco Unified Wireless Network
• Особенности внедрения Converged Access
• Безопасность, QoS – качество обслуживания и контроль приложений, поддержка AVC
• Сценарии внедрения и лицензирование
• Заключение
Содержание
2
Почему появился Converged Access
19.12.2013 © 2013 Cisco and/or its affiliates. All rights reserved. 3
© 2013 Cisco and/or its affiliates. All rights reserved.BRKCRS-2889 Cisco Public
Начало 2000 2002 2004 2006 2008 2010 2012 2014 …
Кл
ие
нт
ы / П
ро
пу
ск
на
я с
по
со
бн
ос
ть
Мультимедийные приложенияПовсеместное распространение
Критически важна работоспособность
Желательно иметь
10 Гбит/с
11 Мбит/с
802.11n
450 Мбит/с
802.11a, 802.11b
11 Мбит/с
802.11g
54 Мбит/с
802.11ac-1
1 Гбит/с
802.11ac-2
3,5 Гбит/с
Перспектива
© 2013 Cisco and/or its affiliates. All rights reserved.BRKCRS-2889 Cisco Public
1 3 5 7
Подумайте, какой вариант ответа вам наиболее близок?
Сколько мобильных устройств с WiFiбудет у вас с собой в 2015?
5
© 2013 Cisco and/or its affiliates. All rights reserved.BRKCRS-2889 Cisco Public
Wireless ControlSystem
Access ControlServer
LAN MgmtSolution
Identity Mgmt
NACProfiler
GuestServer
Cisco WirelessLAN Controller
InternalResources
Cisco FirewallCisco Access Point
Catalyst Switch
Corporate Network Internet
One ManagementPrime
One PolicyISE
WLAN ко н тр оллер н а о с н о ве I O S
• Единый IOS и ASIC с коммутаторами Catalyst 3850
• Необходим для масштабирования более250 AP или 16K абонентов в домене
Конвергентный доступ• Встроенный функционал беспроводного
контроллера
• Распределенная плоскость коммутации для wired/wireless (терминация CAPWAP на коммутаторе)
New 5760
One Network
Catalyst 3850
Единая сеть с конвергентным уровнем доступа–еще один путь внедрения Wireless
6
Конвергентный проводной и беспроводной доступ —преимущества
Масштабируемость за счет распределенной плоскости коммутации
данныхпроводного и
беспроводного доступа
480 Гбит/с – пропускная способность стека, 40 Гбит/с — беспроводной
доступ, оптимизированный
мультикаст
Максимальнаяустойчивость за
счет быстрого восстановления
Многоуровневая архитектура высокой
доступности с аварийным
переключением с учетом состояния
Единаяплатформа для
проводного и беспроводного
доступа
Общая система IOS, общая точка
администрирования,одна версия ПО
Ун и ф и ц и р о в а н н ы й д о с т у п — е д и н а я п о л и т и к а , е д и н о е у п р а в л е н и е , е д и н а я с ет ь
Сетевая прозрачность для
быстрогоустранения неполадок
Трафик проводной и беспроводной сети
можно контролировать на
каждом узле
Согласованный контроль
безопасности и качества
обслуживания
Иерархическое управление пропускной
способностью и распределенное
применение политик
П р е и м у щ е с т в а• Создано на основе ASIC UADP (unified access
data plane) — инновационной технологии ASIC Flexparser Cisco
• Упрощение эксплуатации
• Единая операционная система для проводных и беспроводных сетей
• Централизованное внедрение
• 802.11n
• CleanAir
• VideoStream
• Управление радиоресурсами (RRM)
• Система предотвращения вторжений для беспроводной сети (WiPS)
• Поддержка 802.11ac
Функции:• Стекирование
• Stackpower
• Trustsec/Идентификация
• AVC/Medianet
• Flexible Netflow
• Детализированное качество обслуживания
• Высокая доступность
• Модульный IOS
Функции:
Единая платформа для проводного и беспроводного доступаБ о л е е 2 0 л е т и с п о л ь з о в а н и я ф у н к ц и о н а л ь н о с т и I O S — т е п е р ь и д л я
б е с п р о в о д н о г о д о с т у п а
Беспроводной
доступ
Проводной
доступ
Примечание. На момент представления в новых
платформах может быть доступна только часть
функций. Ожидается, что остальные возможности
будут добавлены в течение 12 месяцев.
Л у ч ш а я в с в о е м к л а с с е п р о и з в о д и т е л ь н о с т ь , б е з о п а с н о с т ь и у с т о й ч и в о с т ь
Контроллер беспроводной сети 5760
Cisco Prime
Кто? Что? Когда
?
Где? Как?
ISE
Catalyst 3850
• Первый в отрасли полностью интегрированный коммутатор для проводной и беспроводной сети
• Беспроводная сеть: 480 Гбит/с стек,50 точек доступа, 2 000 клиентов, 40 Гбит/с
• Слот для аплинк модуля и встроенный функционал стекирования
• Flexible Netflow, гранулярное QoS
Единая политика с Identity Services Engine (ISE)
• Управление политикой BYOD
• Профилирование и оценка устройств
• Портал гостевого доступа
• Полное управление проводным и беспроводным доступом
• Представление, ориентированное на пользователей и устройств
• Интуитивно понятные рабочие процессы устранения неполадок
Единое управление с Cisco Prime 2.0
Catalyst 3650
• Многоядерный процессор, lInux
• Беспроводная сеть: 160 Гбит/с стек,25 точек доступа, 1 000 клиентов, 40 Гбит/с
• Фиксированные аплинк порты и слот для модуля стекирования
• Flexible Netflow, гранулярное QoS
• Резервирование питания
Контроллер беспроводной сети 5760
• IOS, совместимая с Catalyst 3850
• 60 Гбит/с, 11 000 точек доступа, резервирование по схеме N+1
• FNF, гранулярное QoS
Catalyst 3850 Catalyst 3650
Конвергентный доступ — компоненты
© 2013 Cisco and/or its affiliates. All rights reserved.BRKCRS-2889 Cisco Public
One Policy, One Management,One Network
Unified Access Wireless
Уникальный выбор вариантов внедрения
Autonomous FlexConnect
(Private
Cloud)
Centralized Converged
Access
Простота
Unified
Network
Public
Cloud
N.A.A.S.
One Network обзор возможных опций внедрения WiFi
10
Классическая архитектура Cisco Unified
Wireless Network19.12.2013 © 2013 Cisco and/or its affiliates. All rights reserved. 11
© 2013 Cisco and/or its affiliates. All rights reserved.BRKCRS-2889 Cisco Public
Всё начиналось c …
Разделение
функций с
помощью
CAPWAP
Хотспоты с минимальными потребностями в роуминге
Autonomous
Mode
Cisco
Unified
Wireless
Cisco
Converged
Access
Функции Control plane реализуются на контроллерах нового поколения(также возможно использование контроллеров 5508 иWiSM2 в существующих системах, или коммутаторов Converged Access для небольших сетей, например филиалов)
Улучшенная масштабируемость,
централизованное применение политик
• Унификация проводных и беспроводных сетей(безопасность, политики, сервисы)
• Единообразное применение политик и одинаковый набор сервисов для проводного и беспроводного трафика
(NetFlow, advanced QoS, и другие …)
Функции Data plane реализуются на коммутаторах нового поколения (в случае необходимости в централизации, возможна реализация на новых контроллерах)
ОтдельнаяТочка доступа
Точка доступа
У точек доступа есть возможность выполнять функции реального масштаба времени, применять политики и оптимизировать радиопараметры, такие как CleanAir и ClientLink
Централизованное туннелированиепользовательских данных к контроллеру (управление и данные)
Общесистемное скоординированное управление сменой каналов и мощностей, обнаружение посторонних устройств,атак, помех и организация роуминга
Контроллер
Cisco Converged Access –Рост потребностей приводит к эволюции технологий…
Производительность и унификация
функцийМасштабирование и сервисыПростота внедрения
12
CA
PW
AP
New
Mo
bility
© 2013 Cisco and/or its affiliates. All rights reserved.BRKCRS-2889 Cisco Public
Mobility Group
ЦоД/
сервисный блокЭлементы архитектуры –типы тоннелей в CUWN
AP-Controller CAPWAP Tunnel
802.11 Control Session + Data PlaneОб
оз
на
че
ни
я
AP AP AP AP
ISEPI
Inter-Controller
EoIP / CAPWAP Tunnel
SSID2 SSID3
Intranet
EoIP Mobility Tunnel ( < 7.2)
CAPWAP Option in 7.3
SSID1
Inter-Controller (Guest Anchor)
EoIP / CAPWAP Tunnel
Internet
Известная,
успешная
архитектура
Соответствие
SSID – VLAN
(на контроллере)
CAPWAP
Tunnels
Примечания –
• CAPWAP тоннели между AP / WLC описаны в стандарте IETF• UDP порты –
• 5246: зашифрованный траффик управления• 5247: Пользовательские данные (без шифрования или с DTLS
шифрованием (настраиваемый параметр)
• Межконтроллерные Mobility тоннели• EoIP – IP протокол номер 97 … AireOS 7.3 добавил поддержку
CAPWAP• Используется для межконтроллерного L3 роуминга и изоляции
трафика гостей
Шифрование
WLC #2
Foreign WLC
“Guest” AnchorWLC #1
Existing Unified Wireless Deployment today …
13
© 2013 Cisco and/or its affiliates. All rights reserved.BRKCRS-2889 Cisco Public
Data Center /
Service block
PI
ISE
Mobility Group
AP AP AP AP
SSID2 SSID3
Intranet
EoIP Mobility Tunnel ( < 7.2)
CAPWAP Option in 7.3
SSID1
Internet
CAPWAP
Tunnels
Еще немногоо работе
контроллеров БЛВС
Понимание этих принципов критично для объяснения работы Converged Access
Элементы архитектуры –CUWN Control Functions
LE
GE
ND
Foreign WLC
“Guest” Anchor
Mobility Controller
Роуминг, RRM, WIPS, и т.д.
MCMC
MC
MC
Mobility Agent
Построение CAPWAP
тоннелей,
Ведение БД клиентов
MAMA
MA
MA
Existing Unified Wireless Deployment today …
WLC #2WLC #1
14
© 2013 Cisco and/or its affiliates. All rights reserved.BRKCRS-2889 Cisco Public
Layer 2
Mobility Group
WiSM2s / 5508s
Data Center-
DMZ
SiSi SiSi
SiSi
SiSi
Data CenterCampus Services
SiSi
SiSi
CampusGuest Anchors
Internet
SiSiSiSi
SiSiSiSi
CampusAccess
MC
MC
MC
MA
MA
MA
MC MA
MC MA
PI
ISE
PoP PoA
Point of Presence (PoP) vs.Point of Attachment (PoA) –
• PoP – точка присутствия беспроводного абонента в проводной сети
• «привязывает» IP адрес абонента• Точка применения политик безопасности
• PoA – точка прикрепления абонента после роуминга
• Перемещается при переключении абонента на новую AP
• Используется для обеспечения мобильности и применения политик QoS
Элементы архитектуры –Point of Presence (PoP), Point of Attachment (PoA)
Existing Unified Wireless Deployment today …
15
© 2013 Cisco and/or its affiliates. All rights reserved.BRKCRS-2889 Cisco Public
Layer 2
Mobility Group
WiSM2s / 5508s
Data Center-
DMZ
SiSi SiSi
SiSi
SiSi
Data CenterCampus Services
SiSi
SiSi
CampusGuest Anchors
Internet
SiSiSiSi
SiSiSiSi
CampusAccess
MC MA
MC MA
PI
ISEMC
MC
MC
MA
MA
MA• Первоначальные PoP и PoA
абонента находятся на одном и том же
контроллере
• Замечание – в данном примере
предполагается, что все контроллеры имеют
единый набор VLAN-ов на 2 уровне
• Показывается первоначальный путь
данных пользователя…
Элементы архитектуры –Роуминг на 2 уровне (кампусная сеть)
PoP PoA
Existing Unified Wireless Deployment today …
16
© 2013 Cisco and/or its affiliates. All rights reserved.BRKCRS-2889 Cisco Public
Layer 2
Mobility Group
WiSM2s / 5508s
Data Center-
DMZ
SiSi SiSi
SiSi
SiSi
Data CenterCampus Services
SiSi
SiSi
CampusGuest Anchors
Internet
SiSiSiSi
SiSiSiSi
CampusAccess
MC MA
MC MA
PI
ISEMC
MC
MC
MA
MA
MA
PoP PoA
• Потом пользователей подключается к AP,
находящегося под управлением другого
контроллера из той же Mobility Group …
• Точки PoP и PoA абонента перемещаются
на другой контроллер, обслуживающий
его данные после роуминга …
• Показан путь данных пользователя после
роуминга…
Безусловный переход
абонентского контекста
Элементы архитектуры –Роуминг на 2 уровне (кампусная сеть)
Existing Unified Wireless Deployment today …
17
© 2013 Cisco and/or its affiliates. All rights reserved.BRKCRS-2889 Cisco Public
Data Center
Campus Services
ISE
PI
Data Center-
DMZ
SiSi SiSi
SiSi
SiSi
Data CenterCampus Services
SiSi
SiSi
CampusGuest Anchors
Internet
SiSiSiSi
SiSiSiSi
CampusAccess
PI
ISE
MC MA
MC MA
• Первоначальные PoP и PoA
абонента находятся на одном и том же
контроллере
• Note – в данном примере предполагается,
что все контроллеры имеют разный набор
VLAN-ов на 2 уровне
• (т.е. контроллеры отделены друг от друга на
третьем уровне)
• Показывается первоначальный путь
данных пользователя…
Элементы архитектуры –Роуминг на 3 уровне (кампусная сеть)
Layer 3
Mobility
Group5508 /
WiSM-2
5508 /
WiSM-2
MC MA MC MA
PoP
PoA
Existing Unified Wireless Deployment today …
18
© 2013 Cisco and/or its affiliates. All rights reserved.BRKCRS-2889 Cisco Public
Data Center
Campus Services
ISE
PI
Data Center-
DMZ
SiSi SiSi
SiSi
SiSi
Data CenterCampus Services
SiSi
SiSi
CampusGuest Anchors
Internet
SiSiSiSi
SiSiSiSi
CampusAccess
PI
ISE
MC MA
MC MA
Layer 3
Mobility
Group5508 /
WiSM-2
5508 /
WiSM-2
• Потом пользователь подключается к AP,
находящегося под управлением другого
контроллера из той же Mobility Group…
• Точка прикрепления абонента PoA
перемещается на новый контроллер, через
который пройдет трафик после роуминга –
но точка присутствия абонента PoP
остается на контроллере, с которым
пользователь был ассоциирован
первоначально
• Это происходит для сохранения абонентом
IP адреса после роуминга – а также для
продолжения работы первоначально
примененных к абоненту политик
• Показан путь данных пользователя после
роуминга…
Symmetric
Mobility
Tunneling
Элементы архитектуры –Роуминг на 3 уровне (кампусная сеть)
PoP
MC MA MC MAPoA
Existing Unified Wireless Deployment today …
19
© 2013 Cisco and/or its affiliates. All rights reserved.BRKCRS-2889 Cisco Public
PSTN
CUCM
WiSM2s / 5508s
Применение политик
проводной сети на коммутаторе
Применение политик
беспроводной сети на
контроллере
MC MA MC MA
PoPPoA
Пути данных,Unified Wireless –
• В этом примере абонент совершает звонок с беспроводного телефона, подключенного к классической беспроводной сети Cisco, на стационарный IP-телефон…
• Пользовательский трафик всегда будет проходить через контроллер, независимо от направления…
В данном примере, общий путь данных в каждом направлении составляет 9 узлов (считая контроллер, роуминг на 3 уровне добавит еще узел в путь трафика)
Одинаковые
маршруты для
голоса, видео и
данных
Разные
политики для
проводных и
юеспроводных
абонентов
Unified Wireless –путь пользовательских данных
Existing Unified Wireless Deployment today …
20
Архитектура Converged Access
19.12.2013 © 2013 Cisco and/or its affiliates. All rights reserved. 21
© 2013 Cisco and/or its affiliates. All rights reserved.BRKCRS-2889 Cisco Public
Mobility Domain MO
Sub-Domain
#1
Sub-Domain
#2
Mobility Group
SPG SPG
PIISE
MAMAMA MAMAMA
MCMC
Converged Access –Deployment Overview
Cisco Converged Access Deployment
22
© 2013 Cisco and/or its affiliates. All rights reserved.BRKCRS-2889 Cisco Public
• Mobility Agent (MA) – терминирует CAPWAP туннель от AP
• Mobility Controller (MC) – Manages mobility within and across Sub-Domains
• Mobility Oracle (MO) – надмножество MC,используется для повышения масштабируемости в пределах домена мобильности
• Mobility Groups – объединение Mobility Controller-ов (MCs)для обеспечения быстрого роуминга, радиоуправления и т.п.
• Mobility Domain – группа MCs с поддержкой бесшовного роуминга
• Switch Peer Group (SPG) – локализует роуминговый трафик внутри блока уровня распределения
Физические элементы-
Логические элементы-
MA, MC, функции Mobility Group – все это работает на существующих контроллерах (4400, 5500, WiSM2)
Converged Access –Компоненты– физические и логические элементы
Cisco Converged Access Deployment
23
© 2013 Cisco and/or its affiliates. All rights reserved.BRKCRS-2889 Cisco Public
Mobility Group PIISE
MAMAMA
• MA – нижний уровень в иерархии MA
/ MC / MO
• Один MA на стек из Catalyst 3850
• Ведет базу данных локальных
абонентов
• Взаимодействует с Mobility
Controller (MC)
Converged Access –Физические элементы – Mobility Agents (MAs)
Cisco Converged Access Deployment
24
© 2013 Cisco and/or its affiliates. All rights reserved.BRKCRS-2889 Cisco Public
Mobility Group PIISE
MAMAMA
• Обязательный элемент внедрения
• Поддерживает базу состояний MC в Sub-Domain(1 x MC = 1 Sub-Domain)
• Выполняет функции радиоуправления RF functions (в т. ч. RRM)
• Для масштабируемости несколько MС могут объединяться в Mobility Grou
• Управляет mobility-состоянием подконтрольныхMAs
• Может объединяться с MA (небольшие внедрения)
• MC поддерживается на Catalyst 3850,WiSM2, 5508, and 5760
Converged Access –Физические элементы – Mobility Controllers (MCs)
Cisco Converged Access Deployment
25
MC MC
© 2013 Cisco and/or its affiliates. All rights reserved.BRKCRS-2889 Cisco Public
• Может выполнять роль Mobility Agent (MA)и терминировать CAPWAP тоннели от локально подключенных APs …
• и роль Mobility Controller (MC)для других Mobility Agent (MA) коммутаторов, в небольших сетях
- MA/MC работает на стеках коммутаторов Catalyst 3850- MA/MC функционал выполняется на стек-мастере- стек-резервный коммутатор синхронизирует часть
информации (в целях обеспечения отказоустойчивости внутри стека)
Лучший в своем классе коммутатор
уровня доступас интегрированным
Беспроводнымконтроллером
Converged Access –Физические элементы – стек коммутаторов Catalyst 3850 или 3650
MC
MA
Cisco Converged Access Deployment
26
© 2013 Cisco and/or its affiliates. All rights reserved.BRKCRS-2889 Cisco Public
• Быстрый роуминг внутри SPG
• MA внутри SPG соединены в полносвязную
топологию (автоматически в момент
формирования SPG)
• Состоят из нескольких коммутаторов
Catalyst 3850 в роли Mobility Agents (MAs),
и MC (в данном примере MC на
контроллере)
• Обеспечивают роуминг в SPG (L2 / L3)
• Несколько SPG под управлением
единого MC формируют Sub-Domain
SPG является логическим элементом, не физическим …
SPG может формироваться поверх L2 и L3 границ
SPG предназначены для локализации роуминга внутри ограниченной по размеру зоны, а также оптимизации быстроты и масштабируемости роуминга
На сегодняшний день, оптимальныое формирование SPG основывается на зданиях, этажах зданий или иных зонах, в пределах которых роуминг требуется больше всегоДанные абонентов в роуминге внутри SPG передаются напрямую между MA входящими в SPG (CAPWAP full mesh)
Данные абонентов в роуминге между SPG передаются через MC(s), управляющие данными SPGs
Converged Access –Логические элементы– Switch Peer Groups
Sub-Domain 1
MAMA
SPG-B
MC
MAMA
SPG-A
Cisco Converged Access Deployment
Иерархическая
Архитектура
Оптимизирована
На масштабируемость
и роуминг
© 2013 Cisco and/or its affiliates. All rights reserved.BRKCRS-2889 Cisco Public
Sub-Domain 2
MAMA
SPG-C
MAMA
SPG-D
Sub-Domain 1
MAMA
SPG-B
MAMA
SPG-A
Converged Access –Логические элементы – Switch Peer Group и Mobility Group
Sub-Domain 3
MAMA
SPG-E
MAMA
SPG-F
Cisco Converged Access Deployment
Mobility
Group
MC MC
MC
• Один Mobility Controller (MC) выполняет
RRM для всей RF Group
• Радиоуправление (RRM, выполняется RF
Group лидером), распределение ключей
для быстрого роуминга
• Состоит из нескольких
Mobility Controllers (MCs)
• Быстрый роуминг ограничен для MC
входящих в Mobility Group
• Отвечает за роуминг внутри MG (L2 / L3)
• Быстрый роуминг в пределах SPG
• MAs внутри SPG образуют полносвязный
mesh (автоматически при формировании SPG)
• Состоит из нескольких коммутаторов
Catalyst 3850 в роли Mobility Agents (MAs),
и MC (на контроллере)
• Отчечает за роуминг внутри SPG (L2 / L3)
• Несколько SPGs под управлением одного
MC внутри Sub-Domain 28
© 2013 Cisco and/or its affiliates. All rights reserved.BRKCRS-2889 Cisco Public
Как и в любой другой системе – есть особенности которые следует учитывать …
• Сводная справочная инфомрация
Масштабируемость 3850 в роли MC 5760 5508 WiSM2
Максимальное число MCs в Mobility Domain 8 72 72 72
Максимальное число MCs в Mobility Group 8 24 24 24
Максимальное число MA в Sub-domain (на MC) 16 350 350 350
Максимальное число SPGs в
Mobility Sub-Domain (на MC)8 24 24 24
Максимальное число MAs в SPG 16 64 64 64
Максимальное число WLANs 64 512 512 512
Converged Access –особенности масштабирования
Cisco Converged Access Deployment
29
Как работает роуминг
19.12.2013 © 2013 Cisco and/or its affiliates. All rights reserved. 30
© 2013 Cisco and/or its affiliates. All rights reserved.BRKCRS-2889 Cisco Public
AP AP AP
SPG
Point of Presence (PoP) vs.Point of Attachment (PoA) –
• PoP – точка присутствия беспроводного абонента в проводной сети
• PoA – точка прикрепления абонента после роуминга
• Перед первым роумингом, PoPи PoA совпадают
Путь траффика
статичного
пользователя
Note – фиолетовые линии иллюстрируют подключение MAs к ихMC для каждой Switch PeerGroup (или Groups) … обратите внимание, данные НЕ проходят черезMC …
Converged Access –Роуминг – Point of Presence (PoP), Point of Attachment (PoA)
MC
MA MA MA
PoA
PoP
Cisco Converged Access Deployment
31
© 2013 Cisco and/or its affiliates. All rights reserved.BRKCRS-2889 Cisco Public
PIISECentral Location
Guest Anchor
DMZ
WAN
CAPWAP tunnel
to Guest Anchor
3850Switch
CAPWAP tunnels –control and data path
Converged Access –Traffic Flow и роуминг – один стэк Catalyst 3850
MC MA
PoA
PoP
Cisco Converged Access Deployment
32
© 2013 Cisco and/or its affiliates. All rights reserved.BRKCRS-2889 Cisco Public
PSTN
CUCM
SPG
More efficientsince traffic flowsare localized to
the 3850 switch –Performance
Increase
WiSM2s / 5508s / 5760s
Trafficdoes not
flowvia MCs
Traffic Flows, сревнение(Converged Access) –
• Звонок с беспроводного на проводной IP телефон
• Трафик локализуется в перделах SPG
Всего 1 узел на пути трафика без роуминга, дополнительный узел вместе с роумингом
Convergedpolicies andservices for wired and wireless
users
Wired andwireless policies
implementedon 3850 switch
Converged Access –Traffic Flow
Cisco Converged Access Deployment
MC MCMA MAMA MA
PoPPoA
33
© 2013 Cisco and/or its affiliates. All rights reserved.BRKCRS-2889 Cisco Public
SPG
uRPF, Symmetrical
Routing, NetFlow,
Stateful Policy
Application …
Роуминг
между
кроссовыми
Converged Access –Traffic Flow и роуминг – Филиал, L2 / L3 роуминг внутри SPG
MC MA MA MA
PoA
PoP
Cisco Converged Access Deployment
Очень
типичный
сценарий
роуминга
34
Это выглядит также, как и L3 роуминг в CUWN…Это тот же самый процесс
© 2013 Cisco and/or its affiliates. All rights reserved.BRKCRS-2889 Cisco Public
MA
SPG
Roamingwithin an SPG
(L3 behaviourand default L2
behaviour)
Converged Access –Traffic Flow и роуминг – Кампус L2 / L3 роуминг (внутри SPG)
Cisco Converged Access Deployment
MC
MAMA
PoP
PoA
Roaming внутри SPG (Campus) –
• В этом примере абонент осуществляет роуминг внутриSwitch Peer Group – SPG обычно формируются с привязкой к этажу, корпусу и т.п.это наиболее вероятный и распротсраненный тип роуминга
Независимо от пересечения L3 границы (зависит от организации уровня доступа) –трафик абонента всегда* будет проходить через PoPдля применения политик
Очень
типичный
сценарий
роуминга
35
© 2013 Cisco and/or its affiliates. All rights reserved.BRKCRS-2889 Cisco Public
PSTN
CUCM
SPG
WiSM2s / 5508s / 5760s
Wired andwireless policies
implementedon 3850 switch
MC MC
PoPPoA
Более эффективен т.к. пути трафика остаются в
пределах SPG –Производительностьмасштабируемость
Trafficstill doesnot flowvia MCs
Converged Access –Traffic Flow – при роуминге внутри SPG
Cisco Converged Access Deployment
MA MAMA MAPoP
PoA
Traffic Flows, Comparison (Converged Access) –
• Роуминг голосового абонента в пределах SPG
• Три узла на пути трафика
36
© 2013 Cisco and/or its affiliates. All rights reserved.BRKCRS-2889 Cisco Public
SPG SPG
Roamingacross SPGs
(L3 separationassumed at
access layer)
Converged Access –Traffic Flow и роуминг – Кампус, L2 / L3 роуминг (между SPGs)
Cisco Converged Access Deployment
MC
MA MAMA MA MAMA
PoA
PoP
Roaming,между SPGs (кампус) –
• Возможный, но менее вероятный сценарий
37
© 2013 Cisco and/or its affiliates. All rights reserved.BRKCRS-2889 Cisco Public
PIISE
Mobility Group
SPG
MC MA MA MA
SPG
MC MA MA MA
Switch Peer Group / Mobility Group масштабирование Catalyst 3850 –
• До 8 x Catalyst 3850 MCs могут формирвоать Mobility Group
• До 250 AP и до 16,000 клиентов подедрживаются (maximum)на Mobility Group состоящую только из Catalyst 3850
• Лицензирование на MC – нет общего пула
• RRM,и другие функции скоординированысреди MCs в однойMobility Group
Full mesh MC
внутри Mobility
Group
SPG
! " #! "# ! " # ! " #SPG
! " #! "# ! " # ! " #SPG
! " #! "# ! " # ! " #SPG
! " #! "# ! " # ! " #SPG
! " #! "# ! " # ! " #SPG
! " #! "# ! " # ! " #
• Guest тоннели от каждогоMC –
к Guest Anchor контроллеруGuest Anchor
MC MA
Converged Access –Catalyst 3850 MC – Масштабирование
Cisco Converged Access Deployment
38
© 2013 Cisco and/or its affiliates. All rights reserved.BRKCRS-2889 Cisco Public
PIISE
Mobility Group
Что происходит, когда–
• Все попадают в здание через единственный вход
• Точки доступа в холле контролируются одним стеком коммутаторов
• Все пользователи, их их траффик –
• Оказываются «прикреплены» к одному коммутатору ...Что приводит к неравномерной загрузке, исчерпанию IP адресов в DHCP пуле и т.п.
Логически
Большинство
клиентов так и
«остаются»
в холле
Cisco Converged Access Deployment
Cisco Converged Access Deployment
SPG
MC MA MA
Guest Anchor
MC MA
SPG
MC MA MA MA
Зона
ресепшн
MA
PoP
PoA
PoP
PoA
Converged Access –Общий вход в здание– проблема “ресепшн”
39
© 2013 Cisco and/or its affiliates. All rights reserved.BRKCRS-2889 Cisco Public© 2013 Cisco and/or its affiliates. All rights reserved.BRKCRS-2889 Cisco Public
PIISE
Mobility Group
Cisco Converged Access Deployment
Cisco Converged Access Deployment
SPG
MA
Guest Anchor
MC MA
SPG
MC MA MA MA
Зона
ресепшн
MA
Как же решить эту проблему?
• Распределить ассоциацию новых абонентов среди Converged Access коммутаторов в Switch Peer Group
• Внутри SPG идет постоянный обмен информацией о нагрузке – с интервалом(10s по умолчанию, настраивается 1s-30s)
• При достижении заданной нагрузки, ответственный за холл Catalyst 3850 распределяет новые запросы на ассоциацию среди членов SPG … и прикрепление абонента происходит с учетом текущей загрузки
PoA
PoPPoP
Converged Access –Общий вход в здание– решение проблемы «ресепшн»
Over-load!
MC MA
Абонент будет
«привязан» к
среднему
коммутатору в SPG
на основе
загрузки
PoA
40
• Решение вопросовраспределения нагрузки и исчерпания DHCP ресурсов
• Безопасность, QoS – качество обслуживания и
контроль приложений, поддержка AVC
19.12.2013 © 2013 Cisco and/or its affiliates. All rights reserved. 41
Для каждой точки доступа
Для каждого
радиосигнала
Для каждого SSID
Для каждого клиента
Для каждого приложения*
И е р а р х и ч е с к о е у п р а в л е н и е п р о п ус к н о й с п о с о б н о с т ь ю Б е з о п а с н о с т ь
• Идентификация
• Профилирование устройств
• SGT/SGACL**
• Политики уровня управления
• Поддержка MACSec
• Безопасность портов
• Отслеживание DHCPи защита источника IP
• Система предотвращения вторженийдля беспроводной сети (WiPS)
Согласованный контроль безопасности и качества обслуживанияПоддержка критически важных приложений
*На основе уровней 3 и 4 и с 4 по 7 в течение 9 месяцев после первой поставки клиенту
2,4 ГГц 5 ГГц
SSID
1
SSID
2
SSID
1
SSID
2
Jabber
**Перспективный план ПО — в течение 9 месяцев после первой поставки клиенту
Б е с п р е ц е д е н т н о е
© 2013 Cisco and/or its affiliates. All rights reserved.BRKCRS-2889 Cisco Public
• Реализовано в IOS на аппаратном уровне для проводных и беспроводных устройств
• Client Roaming
При роуминге L3 политики ACL будут приведены на PoP коммутаторе
При роуминге L2 политики ACL могут быть перенесены на новый коммутатор (PoA)
• ACLs – централизованная и распределенная политика, IPv4 и IPv6
• URL Redirection / URL ACL
• VLANs
• Service Templates (распределенные / централизованные)
Converged Access, применение политик –Авторизация – вторая буква “A” в AAA
Cisco Converged Access Deployment
43
© 2013 Cisco and/or its affiliates. All rights reserved.BRKCRS-2889 Cisco Public
• ДО Cat3850: один порт, один VLAN
на порту доступа (1:1)
• Исключение: Voice (одно Data
устройство без 1q тэгов, одно
Voice устройство тегировано Voice
VLAN)
• Потом: поддержка назначения
VLAN после аутентификации на
портах с несколькими
устройствами, VLAN по первому
устройству
• 3850: каждая сессия может
иметь индивидуальный VLAN
160 WIRED-EMPLOYEE active Gi1/0/13
VM
Gi1/0/13
Not a trunk!
170 WIRED-GUEST active Gi1/0/13
Per-Session VLAN Assignment –MAC-based VLANs
Cisco Converged Access Deployment
44
Традиционные развертыванияГостевой SSID может захватить неадекватно большую долю полосы пропускания
для каждой пропускной способности SSID
Гость Предприятие
Выделение полосы пропускания
Точка доступа
Гость
Предприятие
Иерархическое управление пропускной способностью
Один пользователь может захватить неадекватно большую долю полосы пропускания
Предприятие
Выделение
полосы
пропускания
Точка доступа
Важная персона
Справедливое распределение
Важная персона
(захват неадекватно
большой доли
полосы пропускания)
Равномерное выделение полосы пропускания на основе использования
Предприятие
Равномерное
выделение полосы
пропускания
Важная персона
Важная персона
(захват большой доли
полосы пропускания)
Конвергированный доступОграничение на пропускную способность SSID
Предприятие
Выделение полосы пропускания
Гость
Предприятие
Гость
Мин. 10% пропускной
способностиМин. 90% пропускной
способности
ISE Prime
Точки доступа
Трафик Multicast проводной сети
Catalyst 3850
Catalyst 3850
Multicast в традиционных развертываниях
(Multicast-Multicast mode)• Репликация Multicast для проводной сети
выполняется в коммутаторе
• Репликация Multicast для беспроводной сети
выполняется в контроллере
Оптимизация Multicast для
конвергированного доступа• Репликация Multicast для проводной и
беспроводной сети выполняется в коммутаторе
3850
• Сокращение количества потоков трафика в сети
Сервер
Multicast
Оптимизация Multicast для масштабируемых развертываний
Репликация
выполняется на
коммутаторе 3850
для всех клиентов
Получатели
трафика Multicast
(проводные и
беспроводные
клиенты)
Трафик Multicast беспроводной сети
Несколько
репликаций в
разных точках для
проводного и
беспроводного
доступа
NBAR2, AVC, FNF
Реализовано в IOS на аппаратном уровне для проводных и
беспроводных устройств
• маркировка траффика
• отчеты по приложениям
• ограничение работы нежелательных приложений
Сценарии внедрения и лицензирование
19.12.2013 © 2013 Cisco and/or its affiliates. All rights reserved. 48
ИЛИ
Шаг 1
Клиент принимает условия соглашения EULA
Лицензии на ПО 3850:
• Lan Base = функции коммутации Layer
2
• IP Base = функции коммутации Layer 3
+ беспроводной доступ
• IP Services = функции IP Base +
расширенные функции Layer 3
Лицензирование функций ПО в Catalyst 3850Упрощенное лицензирование — модель лицензирования Right-To-Use(RTU)
Клиент приобретает лицензию или
хочет осуществить её трансфер
между коммутаторами
Шаг 2С помощью интерфейса CLI клиент активирует приобретенную лицензии (IP Base ИЛИ IP Services). Та же процедура для сценария с заменой оборудования RMA.
Как действует RTU?
Лицензии на точки доступа• требуются только в режиме MC
• могут приобретаться по одной – нет
скидки за опт
• переносимы между устройствами
© 2013 Cisco and/or its affiliates. All rights reserved.BRKCRS-2889 Cisco Public
Converged Access –Небольшой филиал – нет отдельных контроллеров, Catalyst 3850 как MC / MAs
Особенности –
• Может подключаться низкоскоростным WAN каналом
(bandwidth and latency a concern only for Guest traffic)
• Поддерживает Advanced QoS, NetFlow, и остальные сервисы для
проводного и беспроводного трафика
• Поддержка роуминга на 3 уровне
• Поддержка VideoStream и оптимизации multicast
• Высокий уровень доступности за счет резервирования MA/MC внутри
стека 3850 – БЛВС будет работать даже в случае падения канала
До
50 APs
50
© 2013 Cisco and/or its affiliates. All rights reserved.BRKCRS-2889 Cisco Public
Up to
50 APs
Converged Access – Небольшой или средний филиал – нет отдельных контроллеров, Catalyst 3850 как MC / MA, одна SPG
51
Особенности –
• Отдельные контроллеры не нужны, даже при наличии
нескольких кроссовых
• Поддерживает Advanced QoS, NetFlow, и остальные
сервисы для проводного и беспроводного трафика
• Поддержка роуминга на 3 уровне
• Поддержка VideoStream и оптимизации multicast
• Высокий уровень доступности за счет
резервирования MA/MC внутри стека 3850 – БЛВС
будет работать даже в случае падения канала
© 2013 Cisco and/or its affiliates. All rights reserved.BRKCRS-2889 Cisco Public
До
250 APs
Масштабируемость…
до 8 x 3850 MCs
Converged Access – Большой филиалнет отдельных контроллеров, Catalyst 3850 как MC / MA, несколько SPG
52
Особенности –
• Отдельные контроллеры не нужны, даже при наличии
нескольких кроссовых
• Поддерживает Advanced QoS, NetFlow, и остальные
сервисы для проводного и беспроводного трафика
• Поддержка роуминга на 3 уровне
• Поддержка VideoStream и оптимизации multicast
• Высокий уровень доступности за счет
резервирования MA/MC внутри стека 3850 – БЛВС
будет работать даже в случае падения канала
© 2013 Cisco and/or its affiliates. All rights reserved.BRKCRS-2889 Cisco Public
Converged Access – Крупная сеть
Контроллеры в роли MCs, Catalyst 3850 только как MA, несколько SPGs
Особенности –
• Лучше масштабируемость за счет использования отдельных контроллеров в роли MC вместе с Catalyst 3850 в роли MA
• Поддерживает Advanced QoS, NetFlow, и остальные сервисы
для проводного и беспроводного трафика
• Поддержка роуминга на 3 уровне
• Поддержка VideoStream и оптимизации multicast
• Высокий уровень доступности за счет резервирования MA/MC
внутри стека 3850 – БЛВС будет работать даже в случае
падения канала
• Упрощенное внедрениеза счет использования 3850 в роли MA
>250 APs
53
© 2013 Cisco and/or its affiliates. All rights reserved.BRKCRS-2889 Cisco Public
Особенности –
• Использование отдельных контроллеров как MCs, вместе сCatalyst 3850 в роли MAs, дает очень хорошую масштабируемость
• Поддерживает Advanced QoS, NetFlow, и остальные сервисы для
проводного и беспроводного трафика
• Поддержка роуминга на 3 уровне, локализуя роуминг за счет SPG
• Высокая доступность
• Упрощенное внедрение при использование 3850 только как MAs по сравнению с 3850 в роли MCs / MAs
>250 APsConverged Access –Крупный кампус – централизованные MCs, 3850 только как MA
54
© 2013 Cisco and/or its affiliates. All rights reserved.BRKCRS-2889 Cisco Public
>250 APsConverged Access –Крупный кампус – распределенные MCs, 3850 только как MA
55
Особенности – Использование отдельных контроллеров какMCs, вместе с Catalyst 3850 в роли MAs, дает очень хорошую масштабируемость
Поддерживает Advanced QoS, NetFlow, и
остальные сервисы для проводного и
беспроводного трафика
Поддержка роуминга на 3 уровне,
локализуя роуминг за счет SPG
Высокая доступность
Упрощенное внедрение при использование
3850 только как MAs по сравнению с 3850 в
роли MCs / MAs
© 2013 Cisco and/or its affiliates. All rights reserved.BRKCRS-2889 Cisco Public
ISE Prime
Точки доступа
Масштабируемость:• Более 16 000 беспроводных клиентов и 250 точек доступа
• До 72 000 точек доступа, 864 000 клиентов в Mobility Domain
Миграция:• Обновление ПО в существующем 2504, 5508 или Wism2 до
версии 7.3
• Новый коммутатор доступа Catalyst 3850, 3650
Преимущества• Защита инвестиций с помощью обновления существующего
контроллера WLC
• Использование в соответствии с практическими
рекомендациями Cisco по развертыванию в комплексе зданий
• Поэтапная адаптация: совместимость с существующим
внедрением
Туннели CAPWAP AP Туннели Mobility
Обновление ПО в 5508 или wism2
Mobility DomainНовый 5760
Новый Catalyst 3850
Catalyst 3750
MC
MA
Заключение
19.12.2013 © 2013 Cisco and/or its affiliates. All rights reserved. 57
© 2013 Cisco and/or its affiliates. All rights reserved.BRKCRS-2889 Cisco Public
Революционное дополнение к портфелю решений Cisco
Функционал Control planeна NG контроллерах
(также возможен на 5508s, WiSM2s или NG Converged Access
коммутаторах для небольших внедрений)Next-Generation WLAN Controller (5760)
Функционал Data plane на NG коммутаторах
(но может быть реализован на NG контроллерах при необходимости
централизованного внедрения)
Next-Generation коммутаторы (Catalyst
3850s)
Возможен благодарявозможностям Ciscoв разработке микросхем …UADP ASIC
Объединяя проводные и беспроводные сети –как Cisco отвечает новым веяниям?
ControllerКонтроллер
Cisco Converged Access Deployment
58
© 2013 Cisco and/or its affiliates. All rights reserved.BRKCRS-2889 Cisco Public
Converged Access –Когда использовать 3850/3650 в роли MC
Cisco Converged Access Deployment
• Преимущества –• снижение капитальных затрат – стоимость
соответствует 3750• не нужны отдельные контроллеры• Но, не больше 250 точек доступа в сети
• Недостатки -• некоторое усложнение эксплуатации и
ограничения по масштабируемости• больше точек управления
59
О чем важно помнить
• Поддерживается только прямое подключение точек доступа
• Нет поддержки Pass-Through подключения точек, если коммутатора работает как MA или MC
• 3850 – до 50 АР, 2000 клиентов
• 3650 – до 25 АР, 1000 клиентов
© 2013 Cisco and/or its affiliates. All rights reserved.BRKCRS-2889 Cisco Public© 2013 Cisco and/or its affiliates. All rights reserved.BRKCRS-2889 Cisco Public
Mobility Domain MO
Sub-Domain
#1
Sub-Domain
#2
Mobility Group
SPG SPG
PIISE
MAMAMA MAMAMA
MCMC
Революционное
пополнение в
портфеле решений
Cisco для
построения
беспроводных
сетей
Cisco
Converged
Access
Cisco Converged Access Deployment
Объединяя проводные и беспроводные сети –с решением нового поколения
60
19.12.2013 © 2013 Cisco and/or its affiliates. All rights reserved.
Пожалуйста, заполните анкеты.
Ваше мнение очень важно для нас.
Спасибо
Дмитрий Рыжавский
Системный инженер
CiscoRu Cisco CiscoRussia
#CiscoConnectRu
Mobility
Controller
Mobility
Agent
Peer Group
Mobility
Agent
Mobility
Agent
1. Wireless Client request Association
2. MA respond back with Association
3. WCM triggers IOS module to do
authentication
4. IOS starts authentication process for
client with AAA server
5. AAA server responds with ‘access
accept’ including dACL name and
version number in policy attributes
6. If switch has downloaded this dACL
previously and has current version it
uses the cached version
7. If switch does not have current
version then it queries the server for
latest dACL version
ISE
Downloadable ACL –Cisco Converged Access Deployment
62